表哥们好,今天又是看设备的一天,之前看到木马的状态码是404 not found就不看了,告警每天20W,就俺们两个人,想着还是要好好深入分析的原则,就有了mirai僵尸网络的流量分析一文,感兴趣的小伙伴,可以继续跟下去。(因为文章比较简单)
分析
分析过程:
1.攻击ip为国外ip.
1.看到一个攻击主机一直在对多个主机进行攻击。
2.请求路径为,/cgi-bin/mainfunction.cg。
3.useragent为XTC,是mirai的标志之一。
4.请求体,可以看到这里有linux执行命令, I F S 在 这 里 起 到 空 格 的 作 用 , 把 ( {IFS} 在这里起到空格的作用,把( IFS在这里起到空<