Mik*_*eBA 1 apache android exploit malware stagefright
我从 useragent“stagefright”收到以下请求,要求访问 Web 文件夹中的一些 mp3 文件,IP 恰好是唯一的,但文件名总是重复的(正在请求大约 15 个文件),而且这些大多来自较旧的 Android 版本设备,但现在我也注意到了 Android 10。
我已经使用 .htaccess 阻止了对用户代理“stagefright”的访问,但是当它引起我的注意时,它已经消耗了大量的带宽,我并没有被它困扰,因为它返回 403 但有人可以对这些类型进行一些说明吗请求数?这种情况已经持续了一年多,并且仅针对 MP3 文件请求。
此外,在一秒钟内会出现多次对同一文件的突发请求。请参阅下面的日志摘录。
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /xxx.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /xxx.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
73.90.23.108 - - [23/Apr/2020:15:53:37 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
73.90.23.108 - - [23/Apr/2020:15:53:38 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
73.90.23.108 - - [23/Apr/2020:15:53:38 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
47.184.9.3 - - [23/Apr/2020:15:53:39 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:39 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:39 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
73.90.23.108 - - [23/Apr/2020:15:53:39 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
在调试 HTML5 播放器元素的音频服务时,我遇到了这个 stagefright 请求。这不是一次攻击,而是Android 版Chrome故意创建的请求。另外,不要将其与Stagefright bug混淆。
根据该网站和其他来源:
该用户代理属于 stagefright。该多媒体播放器在 Android 上运行,并在一般手机上使用 WebKit 呈现网页内容。
我可以确认,每当 Chrome-Android 浏览器尝试预加载、读取元数据或从嵌入的 HTML5 标签播放音频时,浏览器都会使用这个不起眼的stagefright/1.2用户代理向文件发出二次请求。该请求不包含您的会话 cookie,因此您无法检查用户是否使用传统 cookie 凭据登录。
如果您的服务器阻止请求(通过发送非 HTTP 200 响应代码),Chrome 会持续存在并每隔几秒重新发送stagefright/1.2请求数十次,直到最终放弃。这种类似恶意软件的行为来自Android 版 Google Chrome,它是事实上的通用浏览器,每天在无数 Android 设备中预装和发货。
整个 stagefright 请求非常模糊,有关它的文档等于NULL。如果有人可以提供Google/Android Developers 官方文档的链接,那就太好了。
需要回答的问题:
我只能得出结论,在您的情况下,有人只是试图使用嵌入式 HTML5音频标签从其他网站提供您的 MP3 文件。由于您的阻止政策,这对于 Chrome 用户来说会失败,但在其他浏览器上(肯定)会成功。
| 归档时间: |
|
| 查看次数: |
1258 次 |
| 最近记录: |