Как я понимаю, данная команда пытается скачать файл с указанного адреса и выполнить его. Я проверил папку /bin/zhttpd и не нашел ее. Первая ссылка в Google также указывает на удаленное выполнение кода: https://www.ctfiot.com/114380.html Атака, вероятно, нацелена на Zyxel роутер, но у меня другое оборудование. В логах есть только одна запись по этому IP. Также есть много IP из Нидерландов, связанных с ссылками из Вьетнама и Венесуэлы. Я сейчас ищу информацию о блокировке диапазона IP VPN.
Похоже, что вы описываете попытку кибератаки на ваше устройство с использованием метода удаленного выполнения кода (Remote Code Execution, RCE). Ваше устройство было нацелено командой или скриптом, который пытался скачать и выполнить злонамеренный код с использованием несуществующего пути (`/bin/zhttpd`) в вашей системе. Упоминание Zyxel роутера и найденная вами ссылка предполагают, что это могла быть специфическая атака, предназначенная для уязвимого оборудования этого производителя. Так как вы упомянули IP-адреса из разных стран, кажется, что атаки могут быть распределены и могут использовать различные VPN или прокси для сокрытия истинного источника. В таких случаях можно предпринять следующие шаги для защиты вашей системы: 1. **Обновления ПО и фирмваре**: Убедитесь, что на вашем устройстве установлены последние обновления программного обеспечения и фирмваре, особенно если это сетевое оборудование. 2. **Брандмауэр (Firewall)**: Настройте правила межсетевого экрана для блокировки входящего трафика с подозрительных IP-адресов. Однако блокирование конкретных IP может быть неэффективно против распределенной атаки. 3. **IP-фильтрация**: Для целей блокирования VPN можно использовать специализированные сервисы, которые предоставляют списки известных IP-адресов VPN/прокси, для обновления правил фильтрации на вашем межсетевом экране. 4. **Система обнаружения и предотвращения вторжений (IDS/IPS)**: Рассмотрите возможность использования систем обнаружения вторжений и систем предотвращения вторжений, которые могут анализировать трафик и блокировать подозрительные активности. 5. **Мониторинг логов**: Регулярно проверяйте и анализируйте системные журналы на наличие подозрительной активности. 6. **Резервное копирование**: Ведите политику регулярного создания резервных копий важных данных, чтобы в случае успешной атаки можно было восстановить потерянную информацию. 7. **Сетевая сегментация**: Организуйте сетевую архитектуру таким образом, чтобы уменьшить поверхность атаки, изолировав важные системы и устройства. 8. **Обучение и осведомленность**: Обучайте пользователей и администраторов лучшим практикам безопасности, чтобы повысить уровень защищенности вашей инфраструктуры. Из вашего сообщения следует, что у вас уже есть подозрение на вектор атаки и понимание ее направленности. Теперь важно принять меры и усилить общую безопасность вашей сети и устройств.
По двору прошелся жулик и попытался хакнуть эксплойтом для "майбаха" (условно) все тачки в вашем дворе. Майбахов не нашлось, этот жулик пошел дальше и забыл уже про ваш дворик.
Надо ли защищаться от атаки, не релевантной вашему сетапу? Не надо.
Надо ли делать выводы об уязвимости того или иного оборудования? Надо.
Надо ли проверять свои конфигурации на эксплойты? Надо.
Надо ли реагировать на всякую нерелевантную хрень в логах с ошибками порядка 400? Не надо.
Надо ли позаботиться об оркестрации быстрого развёртывания ваших серверов на случай взломов или проблем с железом? Конечно надо!
Вообще, если ваш сетап на виртуальных машинах в повторяемой среде и с декларативной конфигурацией вроде кубера или докера, то вы легче сможете пережить всякие такие факапы.
Схема такая.
Есть признаки взлома - бэкап логов, снапшот базы, бэкап стораджа, остановка сервисов (если позволяет продакшн), анализ атаки и последствий. Устраняем уязвимость по вектору атаки (гугление по логам и курение тредов), правим конфиги развёртывания и запускаем прод. Потом долго и тщательно разбираемся по логам, снапшотам и бэкапам что затронуто. Делаем тестовый чистый сетап по старой конфигурации и сравниваем пофайлово с атакованной системой, выясняем в какие места вмешались злодеи. Дифаем базу и смотрим на подозрительные различия. Делаем выводы, объявляем об утекших данных, если есть такие признаки (чтобы не подставлять пользователей), принимаем превентивные меры против похожих векторов атак.
Итого, залог успеха - это хранение конфигураций в гит-репозитории, своевременные бэкапы, хранение бэкапов на отдельных изолированных стораджах, оркестрация и автоматизация развертывания, подробное эшелонирование логирование с бэкапами логов, смоук тесты на нестандартную активность в БД, по сетевым интерфейсам, трафику, процессору, памяти, файловым системам, логам...
Это взгляд дилетанта по безопасности, если чего пропустил -- поправьте. Если где не прав -- расскажите.