今天一位朋友用的“discuz”论坛程序,结果今天查看日志的时候发现了如下提示:
我朋友随意网上查了一下,说这串代码是“远程代码执行漏洞”的特征,然后就怀疑自己的服务器是不是攻击了,然后就叫我帮助看一下。
日志如下:
45.141.86.190 - - [24/Jun/2020:17:47:59 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
45.141.86.190 - - [24/Jun/2020:19:10:50 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
196.52.43.98 - - [25/Jun/2020:02:23:47 +0800] "GET / HTTP/1.1" 403 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3602.2 Safari/537.36"
193.106.30.234 - - [25/Jun/2020:07:00:33 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
59.36.132.240 - - [26/Jun/2020:13:04:18 +0800] "GET http://49.234.16.11:888/ HTTP/1.1" 403 146 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:57.0) Gecko/20100101 Firefox/57.0"
223.71.167.163 - - [27/Jun/2020:02:15:25 +0800] "\x16\x03\x01\x02\x00\x01\x00\x01\xFC\x03\x03n\xE08\xB6\xF1uT" 400 150 "-" "-"
92.118.160.53 - - [27/Jun/2020:02:39:27 +0800] "GET / HTTP/1.1" 403 146 "-" "NetSystemsResearch studies the availability of various services across the internet. Our website is netsystemsresearch.com"
183.136.225.44 - - [27/Jun/2020:19:05:55 +0800] "\x16\x03\x01\x02\x00\x01\x00\x01\xFC\x03\x03\x94&_\x0C\xF2x\xA72\xB9\x95\x9Ez\x8D\x07I\xD6\xAA\x05\xDE\xD2Y\x05\x99\xCEU\xBD\x09\xA9\x8E\x86t\xCE\x00\x00\xDA\x00\x05\x00\x04\x00\x02\x00\x01\x00\x16\x003\x009\x00:\x00\x18\x005\x00" 400 150 "-" "-"
185.202.1.100 - - [27/Jun/2020:21:02:36 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
5.188.206.50 - - [28/Jun/2020:01:18:50 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
182.254.52.17 - - [28/Jun/2020:13:03:28 +0800] "GET http://49.234.16.11:888/ HTTP/1.1" 403 146 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:57.0) Gecko/20100101 Firefox/57.0"
想解决问题,肯定要先知道原因,我们就先来看看这串代码是什么意思?这不就可以确定它的危害性了吗?
test.html 代码如下:
<script>
var str= "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr";
alert(str);
</script>
弹窗结果如下:
\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr
上面这串代码其实就是:Javascript \x 16进制 加密过的,我们可以解密一下,结果如下:
Javascript \x 16进制加密/解密
这其实有点类似于“%00截断”,只不过这里变成了 \x 16进制的加密。
由于日志我的朋友只给我看了这么一点,因为他不是很懂技术,明天再去下载日志让我多看一些。
如果仅仅只有这串代码的日志,其实也没有什么危害的,就是异常请求而已,可以不用理会。
假设特意去每个网站后面都加这一串代码再去访问,我相信日志也会记录吧!
之前也经常遇到类似这种的大量异常访问,后面 IP 全给我拉黑名单了
我的博客也有大量类似这样的请求,反正返回结果是400,如果量大就屏蔽掉整段ip,如果不是很多可以不予理会吧。
如果仅仅只有这段代码,的确是没什么影响。如果还有其它代码就要注意一下了,有可能是漏洞攻击(重点注意thinkphp远程代码执行漏洞)。