¿Qué hace este comando? ¿Deberia estar preocupado?

2

Así que estaba depurando mi código cuando veo estas pocas líneas en mi registro:

GET /cgi/common.cgi 302 8.015 ms - 23
GET /stssys.htm 302 2.928 ms - 23
GET / 200 134.922 ms - 9896
POST /command.php 302 33.826 ms - 23
GET /language/Swedish${IFS}&&echo${IFS}610cker>qt&&tar${IFS}/string.js 302 1.049 ms - 23

¿Esto podría afectarme a mí o a mi sistema? ¿Qué puedo hacer para protegerme contra esto? No estoy usando CGI o PHP.

    
pregunta Deimantas 09.02.2017 - 00:10
fuente

1 respuesta

6

Es un intento de inyección de comando. IFS es básicamente un espacio en esta situación, y && ejecuta varios comandos. Así que tienes:

/language/Swedish && echo 610cker > qt && tar /string.js

Que intenta ejecutar tres comandos:

/language/Swedish   <-- where the injection takes place
echo 610cker > qt   <-- write 610cker to file qt
tar /string.js      <-- compress file string.js (but the command is invalid)

Los comandos realmente no tienen sentido y no se usan para explotar su sistema, pero probablemente se usan para probar si es vulnerable.

Si busca en Google co2de% encontrará algunos informes sobre una vulnerabilidad en un enrutador D-Link (aunque la carga útil parece un poco diferente) y otros sistemas (consulte, por ejemplo, here , utilizando la misma carga útil).

Como con todas las entradas de registro de este tipo, es casi seguro que sea un escáner. Si su sistema no es vulnerable y no hay otros signos de intrusión, no me preocuparía.

    
respondido por el tim 09.02.2017 - 00:29
fuente

Lea otras preguntas en las etiquetas