这是一个创建于 396 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天闲着没事上了我的新加坡服务器,看看访问我网站的用户用的什么 UA
zcat access.log.*.gz | cut -d '"' -f6 | grep -v '^-$' | grep -v 'Mozilla' | sort | uniq -c | sort -k1,1n
不用 Mozllia 就相当于宣布自己不是人类,最多的是Go-http-client/1.1其次是curl/7.54.0,估计都是一些自动化扫描工具,其中有一个 UA 非常奇怪
开头类似于一种模板插值语法,末尾疑似 Base64
拿去 base64 解码一下,果然不是好东西
根据架构下载对应二进制,然后执行这个二进制
下载后果然是可执行
尝试分析一下
很奇怪的东西,反汇编不管用,也没有常见的 elf 段
使用strings命令看看内嵌的字符串,大部分都是乱码
似乎还加壳了
不禁感慨互联网黑产真可怕,哪天被黑了也完全不奇怪!
11 条回复 • 2024-05-19 01:17:34 +08:00
 |
1
levelworm 2024-05-18 20:11:58 +08:00 via Android
string 看不出来东西估计就是加密了。看看能不能解开来。。。
|
 |
2
Lentin 2024-05-18 20:20:10 +08:00  1
log4j 的漏洞吧……
|
 |
3
seers 2024-05-18 20:25:38 +08:00
upx -d 可以直接脱壳,看了下是个挖矿病毒,里面很多加密货币相关字符串
|
 |
4
fuzzsh 2024-05-18 20:29:15 +08:00 via Android
这些都是自动化脚本小子
捕获真人攻击要上蜜罐 |
 |
5
Drliehuo 2024-05-18 21:21:14 +08:00
我一般是屏蔽 Go-http-client ,curl 、apache 等 ua ,特定的 ua 只允许管理员测试访问
|
 |
6
LeeReamond 2024-05-18 21:49:24 +08:00
@Drliehuo 老哥怎么实现的,nginx 有特定的插件吗?
|
 |
7
david98 2024-05-18 21:54:49 +08:00
@LeeReamond 加个 lua 模块
|
 |
8
asm 2024-05-18 22:50:40 +08:00
门罗币挖矿的。。。
|
 |
9
Kinnice 2024-05-19 00:23:36 +08:00 via Android
|
 |
10
R4rvZ6agNVWr56V0 2024-05-19 00:58:23 +08:00
常规操作。司空见惯。
|
 |
11
ashong 2024-05-19 01:17:34 +08:00 via iPhone
fail2ban 读日志 ban 掉
|
Select Language