<div dir="ltr"><div dir="ltr">On Sat, Dec 28, 2019 at 2:33 PM Paul Nijjar wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">So it is a generic attack and not a particular CVE they are trying to<br>
exploit? </blockquote><div><br></div><div>It depends on a vulnerable component, in this case download.php which</div><div>was badly written or a PHP installation that was configured incorrectly.<br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">It is weird that they are choosing that particular number of<br>
traversals to get to /etc/passwd. <br></blockquote><div><br></div><div>Probably guessing, based on common directory structures at hosting company, <br></div><div>and maybe they will try various variations.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
I agree with Mikalai that the Internet is terrifying. <br></blockquote><div><br></div><div>Absolutely terrifying! I have been saying this for several years. The number of <br></div><div>automated scripts that exploit various vulnerabilities is immense. <br></div><div><br></div><div>Things I do to minimize the risks:</div><div><br></div><div>- Install the minimum components required for your application(s) to run, and nothing more<br></div><div>- Check the logs daily (I use logwatch, emailing a daily report per host).</div><div>- Block IP addresses trying to login via SSH</div><div><br></div></div></div>