网站日志出现Cookie: mstshash=Administr原因与解决方法
时间:2024年04月03日
/来源:网络
/编辑:佚名
今天一位朋友用的“discuz”论坛程序,结果今天查看日志的时候发现了如下提示:
我朋友随意网上查了一下,说这串代码是“远程代码执行漏洞”的特征,然后就怀疑自己的服务器是不是攻击了,然后就叫我帮助看一下。
日志如下:
45.141.86.190 - - [24/Jun/2020:17:47:59 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
45.141.86.190 - - [24/Jun/2020:19:10:50 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
196.52.43.98 - - [25/Jun/2020:02:23:47 +0800] "GET / HTTP/1.1" 403 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3602.2 Safari/537.36"
193.106.30.234 - - [25/Jun/2020:07:00:33 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
59.36.132.240 - - [26/Jun/2020:13:04:18 +0800] "GET http://49.234.16.11:888/ HTTP/1.1" 403 146 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:57.0) Gecko/20100101 Firefox/57.0"
223.71.167.163 - - [27/Jun/2020:02:15:25 +0800] "\x16\x03\x01\x02\x00\x01\x00\x01\xFC\x03\x03n\xE08\xB6\xF1uT" 400 150 "-" "-"
92.118.160.53 - - [27/Jun/2020:02:39:27 +0800] "GET / HTTP/1.1" 403 146 "-" "NetSystemsResearch studies the availability of various services across the internet. Our website is netsystemsresearch.com"
183.136.225.44 - - [27/Jun/2020:19:05:55 +0800] "\x16\x03\x01\x02\x00\x01\x00\x01\xFC\x03\x03\x94&_\x0C\xF2x\xA72\xB9\x95\x9Ez\x8D\x07I\xD6\xAA\x05\xDE\xD2Y\x05\x99\xCEU\xBD\x09\xA9\x8E\x86t\xCE\x00\x00\xDA\x00\x05\x00\x04\x00\x02\x00\x01\x00\x16\x003\x009\x00:\x00\x18\x005\x00" 400 150 "-" "-"
185.202.1.100 - - [27/Jun/2020:21:02:36 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
5.188.206.50 - - [28/Jun/2020:01:18:50 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
182.254.52.17 - - [28/Jun/2020:13:03:28 +0800] "GET http://49.234.16.11:888/ HTTP/1.1" 403 146 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:57.0) Gecko/20100101 Firefox/57.0"
想解决问题,肯定要先知道原因,我们就先来看看这串代码是什么意思?这不就可以确定它的危害性了吗?
test.html 代码如下:
<script>
var str= "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr";
alert(str);
</script>
弹窗结果如下:
\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr
上面这串代码其实就是:Javascript \x 16进制 加密过的,我们可以解密一下,结果如下:
Javascript \x 16进制加密/解密
这其实有点类似于“%00截断”,只不过这里变成了 \x 16进制的加密。
由于日志我的朋友只给我看了这么一点,因为他不是很懂技术,明天再去下载日志让我多看一些。
如果仅仅只有这串代码的日志,其实也没有什么危害的,就是异常请求而已,可以不用理会。
假设特意去每个网站后面都加这一串代码再去访问,我相信日志也会记录吧!
之前也经常遇到类似这种的大量异常访问,后面 IP 全给我拉黑名单了
我的博客也有大量类似这样的请求,反正返回结果是400,如果量大就屏蔽掉整段ip,如果不是很多可以不予理会吧。
如果仅仅只有这段代码,的确是没什么影响。如果还有其它代码就要注意一下了,有可能是漏洞攻击(重点注意thinkphp远程代码执行漏洞)。
我朋友随意网上查了一下,说这串代码是“远程代码执行漏洞”的特征,然后就怀疑自己的服务器是不是攻击了,然后就叫我帮助看一下。
日志如下:
45.141.86.190 - - [24/Jun/2020:17:47:59 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
45.141.86.190 - - [24/Jun/2020:19:10:50 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
196.52.43.98 - - [25/Jun/2020:02:23:47 +0800] "GET / HTTP/1.1" 403 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3602.2 Safari/537.36"
193.106.30.234 - - [25/Jun/2020:07:00:33 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
59.36.132.240 - - [26/Jun/2020:13:04:18 +0800] "GET http://49.234.16.11:888/ HTTP/1.1" 403 146 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:57.0) Gecko/20100101 Firefox/57.0"
223.71.167.163 - - [27/Jun/2020:02:15:25 +0800] "\x16\x03\x01\x02\x00\x01\x00\x01\xFC\x03\x03n\xE08\xB6\xF1uT" 400 150 "-" "-"
92.118.160.53 - - [27/Jun/2020:02:39:27 +0800] "GET / HTTP/1.1" 403 146 "-" "NetSystemsResearch studies the availability of various services across the internet. Our website is netsystemsresearch.com"
183.136.225.44 - - [27/Jun/2020:19:05:55 +0800] "\x16\x03\x01\x02\x00\x01\x00\x01\xFC\x03\x03\x94&_\x0C\xF2x\xA72\xB9\x95\x9Ez\x8D\x07I\xD6\xAA\x05\xDE\xD2Y\x05\x99\xCEU\xBD\x09\xA9\x8E\x86t\xCE\x00\x00\xDA\x00\x05\x00\x04\x00\x02\x00\x01\x00\x16\x003\x009\x00:\x00\x18\x005\x00" 400 150 "-" "-"
185.202.1.100 - - [27/Jun/2020:21:02:36 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
5.188.206.50 - - [28/Jun/2020:01:18:50 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
182.254.52.17 - - [28/Jun/2020:13:03:28 +0800] "GET http://49.234.16.11:888/ HTTP/1.1" 403 146 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:57.0) Gecko/20100101 Firefox/57.0"
想解决问题,肯定要先知道原因,我们就先来看看这串代码是什么意思?这不就可以确定它的危害性了吗?
test.html 代码如下:
<script>
var str= "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr";
alert(str);
</script>
弹窗结果如下:
\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr
上面这串代码其实就是:Javascript \x 16进制 加密过的,我们可以解密一下,结果如下:
Javascript \x 16进制加密/解密
这其实有点类似于“%00截断”,只不过这里变成了 \x 16进制的加密。
由于日志我的朋友只给我看了这么一点,因为他不是很懂技术,明天再去下载日志让我多看一些。
如果仅仅只有这串代码的日志,其实也没有什么危害的,就是异常请求而已,可以不用理会。
假设特意去每个网站后面都加这一串代码再去访问,我相信日志也会记录吧!
之前也经常遇到类似这种的大量异常访问,后面 IP 全给我拉黑名单了
我的博客也有大量类似这样的请求,反正返回结果是400,如果量大就屏蔽掉整段ip,如果不是很多可以不予理会吧。
如果仅仅只有这段代码,的确是没什么影响。如果还有其它代码就要注意一下了,有可能是漏洞攻击(重点注意thinkphp远程代码执行漏洞)。
新闻资讯 更多
- 【建站知识】查询nginx日志状态码大于400的请求并打印整行04-03
- 【建站知识】Python中的logger和handler到底是个什么?04-03
- 【建站知识】python3拉勾网爬虫之(您操作太频繁,请稍后访问)04-03
- 【建站知识】xpath 获取meta里的keywords及description的方法04-03
- 【建站知识】python向上取整以50为界04-03
- 【建站知识】scrapy xpath遇见乱码解决04-03
- 【建站知识】scrapy爬取后中文乱码,解决word转为html 时cp1252编码问题04-03
- 【建站知识】scrapy采集—爬取中文乱码,gb2312转为utf-804-03
猜你需要
豫ICP备2021026617号-1
豫公网安备:41172602000185