今天闲着没事上了我的新加坡服务器,看看访问我网站的用户用的什么 UA
zcat access.log.*.gz | cut -d '"' -f6 | grep -v '^-$' | grep -v 'Mozilla' | sort | uniq -c | sort -k1,1n
不用 Mozllia 就相当于宣布自己不是人类,最多的是Go-http-client/1.1
其次是curl/7.54.0
,估计都是一些自动化扫描工具,其中有一个 UA 非常奇怪
开头类似于一种模板插值语法,末尾疑似 Base64
拿去 base64 解码一下,果然不是好东西
根据架构下载对应二进制,然后执行这个二进制
下载后果然是可执行
尝试分析一下
很奇怪的东西,反汇编不管用,也没有常见的 elf 段
使用strings
命令看看内嵌的字符串,大部分都是乱码
似乎还加壳了
不禁感慨互联网黑产真可怕,哪天被黑了也完全不奇怪!
1
levelworm 191 天前 via Android
string 看不出来东西估计就是加密了。看看能不能解开来。。。
|
2
Lentin 191 天前 1
log4j 的漏洞吧……
|
3
seers 191 天前
upx -d 可以直接脱壳,看了下是个挖矿病毒,里面很多加密货币相关字符串
|
4
fuzzsh 191 天前 via Android
这些都是自动化脚本小子
捕获真人攻击要上蜜罐 |
5
Drliehuo 191 天前
我一般是屏蔽 Go-http-client ,curl 、apache 等 ua ,特定的 ua 只允许管理员测试访问
|
6
LeeReamond 191 天前
@Drliehuo 老哥怎么实现的,nginx 有特定的插件吗?
|
7
david98 191 天前
@LeeReamond 加个 lua 模块
|
8
asm 191 天前
门罗币挖矿的。。。
|
9
Kinnice 191 天前 via Android
|
10
GeekGao 191 天前
常规操作。司空见惯。
|
11
ashong 191 天前 via iPhone
fail2ban 读日志 ban 掉
|