v2ex 不能直接贴图啊。OP 你上
https://x.threatbook.com/ 登录下查这个 IP 吧,一个威胁情报社区,这个 IP 攻击基本是这几个月开始的,感觉要么是脚本小子新学了两手乱扫一通,要么是被劫持了当流量转发。
贴一下部分查到的信息:
49.65.145.162 恶意 IP
2023-06-26 情报更新
中国 江苏省 南京市中国电信住宅用户
该 IP 在 2023 年 06 月存在相关攻击行为。
相关攻击者使用了 31 个不同的 User-Agent ,部分内容如下:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2866.71 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36
从攻击行为角度分析,共发起过 5 类扫描攻击和 35 类渗透攻击。
存在 5 类与扫描相关的攻击行为,部分攻击行为如下:
XSS 攻击
端口扫描
敏感文件爆破
存在 35 类与渗透相关的攻击行为,部分攻击行为如下:
/etc/passwd 文件读取攻击
Confluence Webwork OGNL 表达式注入攻击(CVE-2021-26084)
路径穿越攻击
近期相关攻击流量关键内容如下:
sec=requestpass&email=test%******.com%22%3e%3cimg%20src%3da%20onerror%3dalert(document.domain)%3e11&code=AAAAA&login=
在整个攻击过程中曾试图投递过 2 个木马,其中投递过的木马如下:
http://example.com/?x%26v=1%2522http://ci5teirjtars74getg60rmujsq5tzaj5y.oast.site/geoserver/../&body=&username=&password=同 C 段中有 1 个恶意/可疑 IP ,存在扫描相关恶意行为。同 C 段 IP 如下:
49.65.145.227
每日攻击详情
2023-06-16
攻击手法
扫描 (4)
服务扫描:
访问敏感文件 XSS 攻击敏感文件爆破 GIT 敏感文件扫描
渗透攻击 (35)
漏洞利用:
/etc/passwd 文件读取攻击 Confluence Webwork OGNL 表达式注入攻击(CVE-2021-26084)路径穿越攻击通用 web 攻击命令执行攻击文件读取攻击 XSS 攻击 SQL 注入攻击 Web 漏洞扫描深信服 EDR 远程代码执行攻击文件上传攻击 WordPress 文件上传漏洞 WordPress 命令执行攻击 WordPress SQL 注入攻击 Joomla SQL 注入攻击(CVE-2015-7297)Dicoogle PACS 目录遍历攻击 SSRF 漏洞探测 OptiLink ONT1GEW GPON 命令注入攻击尝试扫描敏感文件 WordPress Wechat Broadcast 插件远程文件包含攻击(CVE-2018-16283)下载*-sql 数据库行为 Sonicwall 未授权缓冲区溢出攻击(CVE-2021-20038)Web 权限绕过攻击 JexBoss 命令执行攻击 Spring Boot Actuator 未授权攻击 WordPress 文件读取攻击 PHP zerodium 后门探测 BeanShell 远程代码执行攻击文件包含攻击 Zoho ManageEngine ADSelfService Plus 未授权命令执行攻击(CVE-2021-40539)蓝海卓越计费管理系统远程命令执行攻击 Micro Focus OBR 命令注入攻击(CVE-2021-22502)ShopXO 文件读取攻击(CNVD-2021-15822)BeanShell 未授权探测 ProFTPD mod-copy 模块信息泄露攻击(CVE-2015-3306)