freebuf
本文来源:cgf99
*本文原创作者:cgf99,本文属于FreeBuf原创奖励计划,未经许可禁止转载
一、事件背景
在对服务器进行例行性检查的时候,在一台ngix服务器的日志文件access.log里面发现了一些奇怪的访问记录,如下表所示。备注,这台Ngix 服务器安装windows10企业版操作系统,web服务器是nginx/1.12.2。
| 来源IP | 时间 | 数据 |
|---|---|---|
| 85.248.227.163 | 16/Oct/2018:13:14:41 +0800 | "POST /?q=user%2Fpassword Win64; x64; rv:51.0) Gecko/20100101 Firefox/51.0" |
| 85.248.227.163 | 16/Oct/2018:13:14:41 +0800 | "GET /?q=user%2Fpassword Win64; x64; rv:51.0) Gecko/20100101 Firefox/51.0" |
| 85.248.227.163 | 16/Oct/2018:13:14:43 +0800 | "POST /?q=user%2Fpassword WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" |
| 85.248.227.165 | 16/Oct/2018:13:14:47 +0800] | "GET /?q=user%2Fpassword WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" |
经过整理,发现上述web访问的命令其实就是下列两行,分别用GET和POST向目标网站进行请求访问。
转载请注明来自网盾网络安全培训,本文标题:《利用Drupal漏洞进行传播的挖矿僵尸病毒分析》
- 上一篇: 小白学安全第二十九篇之网络协议-TCP与UDP
- 下一篇: 惊呆了!这个专业毕业就能进入名企工作
- 关于我们
