【问题标题】:Stagefright - Exploit? - recurring requests for same files怯场——利用? - 对相同文件的重复请求
【发布时间】:2020-08-06 18:05:29
【问题描述】:

我从用户代理“stagefright”收到以下请求,请求 web 文件夹中的一些 mp3 文件,IP 碰巧是唯一的,但文件名总是重复的(大约 15 个文件被请求),这些大多来自较旧的 Android版本设备,但现在我也注意到了 Android 10。

我已经使用.htaccess 阻止了对用户代理“stagefright”的访问,但是当它引起我的注意时,它已经消耗了大量带宽,我并没有被它所困扰,因为它返回 403,但有人能说明一下吗对这些类型的请求?这已经持续了一年多,并且仅针对 MP3 文件请求。

此外,对于同一文件,一秒钟内会有多次请求突发。请参阅下面的日志摘录。

84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /xxx.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /xxx.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
73.90.23.108 - - [23/Apr/2020:15:53:37 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
73.90.23.108 - - [23/Apr/2020:15:53:38 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
73.90.23.108 - - [23/Apr/2020:15:53:38 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
47.184.9.3 - - [23/Apr/2020:15:53:39 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:39 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:39 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
73.90.23.108 - - [23/Apr/2020:15:53:39 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"

【问题讨论】:

  • 这是一个安全问题,与编码无关
  • @a_local_nobody 我不同意。这与 Google Chrome 关于加载和播放嵌入式 MP3 文件的默认和自然行为有关。但是,它看起来确实像 DDOS 攻击,我会告诉你的。

标签: android apache malware exploit stagefright


【解决方案1】:

在调试向 HTML5 播放器元素提供音频时,我遇到了这个怯场请求。这不是攻击,而是 Chrome 为 Android 创建的有意请求。另外,不要与Stagefright bug 混淆。

this site等消息来源:

此用户代理属于 stagefright。这个多媒体播放器运行在 Android,它在通用移动设备上使用 WebKit 呈现 Web 内容 电话。

我可以确认,每当 Chrome-Android 浏览器尝试预加载、读取元数据或播放来自嵌入 HTML5 标记的音频时,浏览器都会使用这个不起眼的stagefright/1.2 用户代理。该请求不包括您的会话 cookie,因此您无法检查用户是否使用传统的 cookie 凭据登录。

如果您的服务器阻止请求(通过发送非 HTTP 200 响应代码),Chrome 会保留并每隔几秒重新发送 stagefright/1.2 请求几十次 ,直到它最终放弃。这种类似恶意软件的行为来自Google Chrome for Android,这是事实上的通用浏览器,每天在数以万计的 Android 设备中预装和发货。

整个怯场请求都非常模糊,有关它的文档等于 NULL。如果有人能提供 来自 Google/Android 开发者的官方文档的链接,那就太好了。

正如甘道夫所说:问题。需要回答的问题:

  • 为什么要发送这个伪造的用户代理而不是真实的?
  • 它究竟期望收到什么?
  • 为什么它甚至不包括会话 cookie?
  • 为什么在“开发者工具网络”选项卡中隐藏了请求?你根本找不到那里。

我只能得出结论,在您的情况下,有人只是试图使用嵌入的 HTML5 音频标签从其他网站提供您的 MP3 文件。由于您的阻止政策,这对 Chrome 用户来说会失败,但它(肯定)在其他浏览器上会成功。

【讨论】:

    【解决方案2】:

    找不到此传入流量的根本原因,但使用 ModSecurity 在用户代理中使用 stagefright 阻止所有流量

    【讨论】:

    • 请检查我的答案,因为这似乎是您托管的 MP3 文件被外部使用的症状。
    猜你喜欢
    • 2011-08-18
    • 1970-01-01
    • 2011-10-09
    • 1970-01-01
    • 1970-01-01
    • 2014-09-10
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多