V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
vituralfuture
V2EX  ›  信息安全

今天翻 nginx 日志发现了远程代码执行攻击

  •  
  •   vituralfuture · 189 天前 · 3300 次点击
    这是一个创建于 189 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天闲着没事上了我的新加坡服务器,看看访问我网站的用户用的什么 UA

    zcat access.log.*.gz | cut -d '"' -f6 | grep -v '^-$' | grep -v 'Mozilla' | sort | uniq -c | sort -k1,1n
    

    不用 Mozllia 就相当于宣布自己不是人类,最多的是Go-http-client/1.1其次是curl/7.54.0,估计都是一些自动化扫描工具,其中有一个 UA 非常奇怪

    开头类似于一种模板插值语法,末尾疑似 Base64
    拿去 base64 解码一下,果然不是好东西 根据架构下载对应二进制,然后执行这个二进制

    下载后果然是可执行

    尝试分析一下 很奇怪的东西,反汇编不管用,也没有常见的 elf 段
    使用strings命令看看内嵌的字符串,大部分都是乱码 似乎还加壳了

    不禁感慨互联网黑产真可怕,哪天被黑了也完全不奇怪!

    11 条回复    2024-05-19 01:17:34 +08:00
    levelworm
        1
    levelworm  
       189 天前 via Android
    string 看不出来东西估计就是加密了。看看能不能解开来。。。
    Lentin
        2
    Lentin  
       189 天前   ❤️ 1
    log4j 的漏洞吧……
    seers
        3
    seers  
       189 天前
    upx -d 可以直接脱壳,看了下是个挖矿病毒,里面很多加密货币相关字符串
    fuzzsh
        4
    fuzzsh  
       189 天前 via Android
    这些都是自动化脚本小子

    捕获真人攻击要上蜜罐
    Drliehuo
        5
    Drliehuo  
       189 天前
    我一般是屏蔽 Go-http-client ,curl 、apache 等 ua ,特定的 ua 只允许管理员测试访问
    LeeReamond
        6
    LeeReamond  
       189 天前
    @Drliehuo 老哥怎么实现的,nginx 有特定的插件吗?
    david98
        7
    david98  
       188 天前
    @LeeReamond 加个 lua 模块
    asm
        8
    asm  
       188 天前
    门罗币挖矿的。。。
    Kinnice
        9
    Kinnice  
       188 天前 via Android
    GeekGao
        10
    GeekGao  
       188 天前
    常规操作。司空见惯。
    ashong
        11
    ashong  
       188 天前 via iPhone
    fail2ban 读日志 ban 掉
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2847 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 13:50 · PVG 21:50 · LAX 05:50 · JFK 08:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.