Ho trovato diverse righe di questa richiesta nel log di accesso al mio server web:
Source IP Dest IP Request Stat User agent
217.172.190.19 1.2.3.4 POST /?cmd=info&key=a7aa3875fc4422ca78f7b4216205b9a5&ip=1.2.3.4 HTTP/1.1 200 Net-Worm.PHP.Mongiko.a
Provato per Google, ma non ho trovato alcuna informazione. Che cos'è Net-Worm.PHP.Mongiko e che cosa sta cercando di pubblicare sul mio sito web?
Questo avviso di virus è una truffa. L'obiettivo è ottenere che gli amministratori scarichino ed eseguano speciali "strumenti di rimozione", che sono in realtà il virus effettivo.
Un'altra nota su come funzionano i siti Web e cosa vedi nel registro di accesso:
Puoi visitare praticamente ogni sito web e aggiungere parametri arbitrari come ?cmd=foo&key=bar e il sito web caricherà e ignorerà il parametro. Questa voce di registro sospetta potrebbe non significare nulla!
Controlla attentamente il tuo sistema per vedere se stai davvero facendo qualcosa di sospetto. Ad esempio, registrando tutto il traffico HTTP contenente parametri sospetti.
Lo strumento di rimozione come pubblicizzato (c'è un collegamento nei commenti - non installare), aprirà il firewall e consentirà a un utente malintenzionato di controllare a distanza il tuo computer.
Ti consiglio di guardare anche la discussione che segue questo post di mailing list di sicurezza freebsd , se vuoi saperne di più.
Come ha detto freddyb, questa sembra essere una truffa. Ho guardato lo "strumento di rimozione" per il virus - contiene un eseguibile che si stacca in background, si rinomina in udevd , si connette a 95.215.44.195:443 (che il server sembra essere inattivo), invia la stringa FOG\n\n# e fornisce al server una shell inversa (da dup() ing il socket a fds 0,1,2, quindi eseguendo la shell - questo significa che il server può quindi eseguire codice arbitrario sul tuo computer). Non c'è modo che sia uno strumento di rimozione malware legittimo.
Sembra che stia cercando di comunicare con un programma precedentemente installato. Direi (da cmd=info ) che sta provando a vedere se l'installazione è stata completata. ip=1.2.3.4 (che presumo sia il tuo IP anonimizzato) sta dicendo quale IP sta cercando di comunicare, nel caso in cui il traffico tornasse da un altro IP.
Probabilmente non è niente, solo uno scanner per un po 'di malware. Finché il tuo server non risponde positivamente stai bene.
Questo indirizzo IP viene visualizzato al momento tramite i2p nel browser TOR. Qualcuno sta usando una rete anonima per ottenere qualche tipo di informazione dal tuo server, e probabilmente ha anche il codice lì per inviare altri comandi ad esso.