我最近在DigitalOcean上托管的新网站上发布了欢迎页面。我使用的是Node JS和nginx。
这些请求定位/t.php,POST /wls-wsat/CoordinatorPortType,POST /user/register?。
这是一次黑客攻击吗?
以下是nginx日志 -
80.123.42.103 - - [24/Apr/2018:16:38:54 +0000] "GET /t.php?c=%5B%7B%22k%22%3A%22%5Cb%22%2C%22t%22%3A9874541096%7D%5D HTTP/1.1" 404 144 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0"
80.123.42.103 - - [24/Apr/2018:16:38:54 +0000] "GET /t.php?c=%5B%7B%22k%22%3A%22%5Cb%22%2C%22t%22%3A9874541264%7D%5D HTTP/1.1" 404 144 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0"
80.13.73.224 - - [24/Apr/2018:08:47:10 +0000] "POST /wls-wsat/CoordinatorPortType HTTP/1.1" 400 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
80.13.73.224 - - [24/Apr/2018:08:47:10 +0000] "POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1" 404 153 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
80.13.73.224 - - [24/Apr/2018:08:47:10 +0000] "GET / HTTP/1.1" 200 3508 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"
80.13.73.224 - - [24/Apr/2018:08:47:10 +0000] "GET / HTTP/1.1" 200 3508 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"
80.13.73.224 - - [24/Apr/2018:08:47:11 +0000] "GET /rss.php?mode=recent HTTP/1.1" 404 146 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"
答案 0 :(得分:1)
你是完全正确的!
有人正在扫描您系统上可能存在的漏洞。例如,/user/register行与漏洞CVE-2018-7600相关,如果您使用的是某些版本的Drupal,则允许远程执行任意代码。 /wls-wsat/CoordinatorPortType行可能与漏洞CVE-2017-10271相关,后者允许接管某些Oracle WebLogic服务器。至于/t.php,遗憾的是由于现代搜索引擎的垃圾索引,我无法找到任何信息,但我们可以合理地假设它与另一个提供无限制root访问权限的漏洞有关。
它可能是一个有针对性的扫描,但它也可能是一个脚本小家伙铸造一个宽网并希望有东西坚持。我认为它是后者,因为他们似乎采用了猎枪方法来获得对不同类型系统的root访问权。
您可能没有什么可担心的,但为了安全起见,我鼓励您验证您的软件是否与所有安全补丁保持同步,并确保这些请求都不会影响任何部分你的系统(例如,如果你正在运行Drupal,那么它至少是一个正确修补的版本)。