107.178.238.39 - - [01/Aug/2021:23:15:13 +0800] "GET /ads.txt HTTP/1.1" 404 205 "-" "axios/0.18.1"35.203.251.50 - - [02/Aug/2021:14:41:13 +0800] "GET /ads.txt HTTP/1.1" 404 205 "-" "axios/0.18.1"107.178.232.197 - - [03/Aug/2021:09:15:10 +0800] "GET /ads.txt HTTP/1.1" 404 205 "-" "axios/0.18.1"107.178.232.177 - - [04/Aug/2021:16:39:55 +0800] "GET /ads.txt HTTP/1.1" 404 205 "-" "axios/0.18.1"35.203.245.221 - - [04/Aug/2021:19:12:34 +0800] "GET /ads.txt HTTP/1.1" 404 205 "-" "axios/0.18.1"35.203.251.52 - - [05/Aug/2021:11:17:22 +0800] "GET /ads.txt HTTP/1.1" 404 205 "-" "axios/0.18.1"107.178.237.26 - - [05/Aug/2021:18:57:11 +0800] "GET /ads.txt HTTP/1.1" 404 205 "-" "axios/0.18.1"35.203.252.118 - - [06/Aug/2021:23:32:40 +0800] "GET /ads.txt HTTP/1.1" 404 205 "-" "axios/0.18.1"107.178.231.235 - - [07/Aug/2021:13:23:40 +0800] "GET /ads.txt HTTP/1.1" 404 205 "-" "axios/0.18.1"107.178.232.181 - - [08/Aug/2021:14:19:30 +0800] "GET /ads.txt HTTP/1.1" 404 205 "-" "axios/0.18.1"107.178.239.192 - - [09/Aug/2021:15:16:42 +0800] "GET /ads.txt HTTP/1.1" 404 205 "-" "axios/0.18.1": :35.203.245.186 - - [30/Aug/2021:21:50:37 +0800] "GET /ads.txt HTTP/1.1" 404 216 "-" "axios/0.18.1"35.203.251.54 - - [31/Aug/2021:23:18:14 +0800] "GET /ads.txt HTTP/1.1" 404 216 "-" "axios/0.18.1"107.178.231.238 - - [01/Sep/2021:09:32:14 +0800] "GET /ads.txt HTTP/1.1" 404 216 "-" "axios/0.18.1"
經過查詢這些 IP 都是來自網域為 googleusercontent.com 的 Google 那邊來的, 就 ads.txt 這個檔案來說是來管理廣告用的, 使用 Google AdSense 來設置廣告獲利, Authorized Digital Sellers (簡稱 ads.txt) 是美國互動廣告局科技實驗室 (IAB Tech Lab) 主持的一項計劃,旨在確保數位廣告空間只透過獲得授權的賣家 (例如 AdSense) 出售
另外在估狗時發現, 早在幾年前就有駭客利用 Google 伺服器(如googleusercontent)來共享惡意程式的方法, 利用圖像的EXIF資料隱藏惡意程式, 從 googleusercontent 圖片中讀取EXIF資料, 這圖片可能是由 Google+(Google現已停用)或 Blogger帳戶上的某人上傳, 當其EXIF資料的 UserComment部分被解碼時, 結果是一個能夠上傳 Web shell 和任意文件的程式碼, 因為在檢查圖像的資料並對其進行解碼之前無法發現惡意程式, 即使在發現惡意程式之後也無法知道圖像的真實來源
沒有留言:
張貼留言