Как я понимаю, данная команда пытается скачать файл с указанного адреса и выполнить его. Я проверил папку /bin/zhttpd и не нашел ее. Первая ссылка в Google также указывает на удаленное выполнение кода: https://www.ctfiot.com/114380.html Атака, вероятно, нацелена на Zyxel роутер, но у меня другое оборудование. В логах есть только одна запись по этому IP. Также есть много IP из Нидерландов, связанных с ссылками из Вьетнама и Венесуэлы. Я сейчас ищу информацию о блокировке диапазона IP VPN.
Похоже, что вы описываете попытку кибератаки на ваше устройство с использованием метода удаленного выполнения кода (Remote Code Execution, RCE). Ваше устройство было нацелено командой или скриптом, который пытался скачать и выполнить злонамеренный код с использованием несуществующего пути (`/bin/zhttpd`) в вашей системе. Упоминание Zyxel роутера и найденная вами ссылка предполагают, что это могла быть специфическая атака, предназначенная для уязвимого оборудования этого производителя. Так как вы упомянули IP-адреса из разных стран, кажется, что атаки могут быть распределены и могут использовать различные VPN или прокси для сокрытия истинного источника. В таких случаях можно предпринять следующие шаги для защиты вашей системы: 1. **Обновления ПО и фирмваре**: Убедитесь, что на вашем устройстве установлены последние обновления программного обеспечения и фирмваре, особенно если это сетевое оборудование. 2. **Брандмауэр (Firewall)**: Настройте правила межсетевого экрана для блокировки входящего трафика с подозрительных IP-адресов. Однако блокирование конкретных IP может быть неэффективно против распределенной атаки. 3. **IP-фильтрация**: Для целей блокирования VPN можно использовать специализированные сервисы, которые предоставляют списки известных IP-адресов VPN/прокси, для обновления правил фильтрации на вашем межсетевом экране. 4. **Система обнаружения и предотвращения вторжений (IDS/IPS)**: Рассмотрите возможность использования систем обнаружения вторжений и систем предотвращения вторжений, которые могут анализировать трафик и блокировать подозрительные активности. 5. **Мониторинг логов**: Регулярно проверяйте и анализируйте системные журналы на наличие подозрительной активности. 6. **Резервное копирование**: Ведите политику регулярного создания резервных копий важных данных, чтобы в случае успешной атаки можно было восстановить потерянную информацию. 7. **Сетевая сегментация**: Организуйте сетевую архитектуру таким образом, чтобы уменьшить поверхность атаки, изолировав важные системы и устройства. 8. **Обучение и осведомленность**: Обучайте пользователей и администраторов лучшим практикам безопасности, чтобы повысить уровень защищенности вашей инфраструктуры. Из вашего сообщения следует, что у вас уже есть подозрение на вектор атаки и понимание ее направленности. Теперь важно принять меры и усилить общую безопасность вашей сети и устройств.
По двору прошелся жулик и попытался хакнуть эксплойтом для "майбаха" (условно) все тачки в вашем дворе. Майбахов не нашлось, этот жулик пошел дальше и забыл уже про ваш дворик. <br/> <br/> Надо ли защищаться от атаки, не релевантной вашему сетапу? Не надо. <br/> Надо ли делать выводы об уязвимости того или иного оборудования? Надо. <br/> Надо ли проверять свои конфигурации на эксплойты? Надо. <br/> Надо ли реагировать на всякую нерелевантную хрень в логах с ошибками порядка 400? Не надо. <br/> Надо ли позаботиться об оркестрации быстрого развёртывания ваших серверов на случай взломов или проблем с железом? Конечно надо! <br/> <br/> Вообще, если ваш сетап на виртуальных машинах в повторяемой среде и с декларативной конфигурацией вроде кубера или докера, то вы легче сможете пережить всякие такие факапы. <br/> Схема такая. <br/> Есть признаки взлома - бэкап логов, снапшот базы, бэкап стораджа, остановка сервисов (если позволяет продакшн), анализ атаки и последствий. Устраняем уязвимость по вектору атаки (гугление по логам и курение тредов), правим конфиги развёртывания и запускаем прод. Потом долго и тщательно разбираемся по логам, снапшотам и бэкапам что затронуто. Делаем тестовый чистый сетап по старой конфигурации и сравниваем пофайлово с атакованной системой, выясняем в какие места вмешались злодеи. Дифаем базу и смотрим на подозрительные различия. Делаем выводы, объявляем об утекших данных, если есть такие признаки (чтобы не подставлять пользователей), принимаем превентивные меры против похожих векторов атак. <br/> <br/> Итого, залог успеха - это хранение конфигураций в гит-репозитории, своевременные бэкапы, хранение бэкапов на отдельных изолированных стораджах, оркестрация и автоматизация развертывания, подробное эшелонирование логирование с бэкапами логов, смоук тесты на нестандартную активность в БД, по сетевым интерфейсам, трафику, процессору, памяти, файловым системам, логам... <br/> <br/> Это взгляд дилетанта по безопасности, если чего пропустил -- поправьте. Если где не прав -- расскажите.