这是一个创建于 518 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天闲着没事上了我的新加坡服务器,看看访问我网站的用户用的什么 UA
zcat access.log.*.gz | cut -d '"' -f6 | grep -v '^-$' | grep -v 'Mozilla' | sort | uniq -c | sort -k1,1n 不用 Mozllia 就相当于宣布自己不是人类,最多的是Go-http-client/1.1其次是curl/7.54.0,估计都是一些自动化扫描工具,其中有一个 UA 非常奇怪
开头类似于一种模板插值语法,末尾疑似 Base64
拿去 base64 解码一下,果然不是好东西 
根据架构下载对应二进制,然后执行这个二进制
下载后果然是可执行
尝试分析一下 
很奇怪的东西,反汇编不管用,也没有常见的 elf 段
使用strings命令看看内嵌的字符串,大部分都是乱码 
似乎还加壳了
不禁感慨互联网黑产真可怕,哪天被黑了也完全不奇怪!
11 条回复 2024-05-19 01:17:34 +08:00
 | 1 levelworm 2024-05-18 20:11:58 +08:00 via Android string 看不出来东西估计就是加密了。看看能不能解开来。。。 |
 | 2 Lentin 2024-05-18 20:20:10 +08:00  1 log4j 的漏洞吧…… |
 | 3 seers 2024-05-18 20:25:38 +08:00 upx -d 可以直接脱壳,看了下是个挖矿病毒,里面很多加密货币相关字符串 |
 | 4 pingdog 2024-05-18 20:29:15 +08:00 via Android 这些都是自动化脚本小子 捕获真人攻击要上蜜罐 |
 | 5 Drliehuo 2024-05-18 21:21:14 +08:00 我一般是屏蔽 Go-http-client ,curl 、apache 等 ua ,特定的 ua 只允许管理员测试访问/div> |
 | 6 LeeReamond 2024-05-18 21:49:24 +08:00 @Drliehuo 老哥怎么实现的,nginx 有特定的插件吗? |
 | 7 david98 2024-05-18 21:54:49 +08:00 @LeeReamond 加个 lua 模块 |
 | 8 asm 2024-05-18 22:50:40 +08:00 门罗币挖矿的。。。 |
 | 9 Kinnice 2024-05-19 00:23:36 +08:00 via Android |
 | 10 R4rvZ6agNVWr56V0 2024-05-19 00:58:23 +08:00 常规操作。司空见惯。 |
 | 11 ashong 2024-05-19 01:17:34 +08:00 via iPhone fail2ban 读日志 ban 掉 |
Select Language