蜜罐捕获 入侵
系统拦截到另一挖矿团伙的针对Weblogic漏洞的作案服务器
匿名用户 2017-12-26 14:00:00 1145人浏览

微信截图_20171227104337.jpg

系统通过监控,拦截到一段境外服务器对Weblogic漏洞的POST请求,从请求中抓到境外用于获取Shell权限,下载挖矿进程的服务器以及挖矿进程下载脚本和病毒文件。公开下

贴几个下载sh文件的路劲,

首先通过POST 该地址http://207.246.125.40/select.sh进行下载挖矿进程下载时用到的shell

然后通过执行该Shell,进行挖矿进程Shell下载,地址: http://207.246.125.40/lower.sh

再然后下载挖矿进程,进行挖矿。挖矿程序地址:http://207.246.125.40/river>river

期间由同一台机器完成。和之前公布的72.11.140.78一致。

目前的措施还是封掉这个IP。Weblogic已经删除Wls-wsat.war包,所以不起作用

评论 24
匿名用户 2018-05-22 16:03:40 回复
还有这种操作?
匿名用户 2018-05-21 16:17:47 回复
不错
匿名用户 2018-05-21 16:11:45 回复
姿势可以
匿名用户 2018-05-21 16:10:21 回复
姿势可以
匿名用户 2018-05-21 16:07:39 回复
学习学习1
h0st 2018-05-21 16:07:07 回复
新姿势学习下。。。
匿名用户 2018-05-21 16:06:19 回复
学习学习
匿名用户 2018-05-21 16:04:31 回复
厉害了
匿名用户 2018-05-21 15:56:53 回复
学习个
匿名用户 2018-05-21 15:50:02 回复
niupi 1
匿名用户 2018-05-21 15:49:05 回复
niupi
匿名用户 2018-05-21 15:47:49 回复
77777
匿名用户 2018-05-21 15:46:44 回复
666
匿名用户 2018-05-21 15:45:26 回复
666
匿名用户 2018-05-21 15:44:20 回复
666
hicert1 2018-01-05 17:23:07 回复
还有一个 http://207.246.125.40/root.sh
匿名用户 2018-01-03 23:43:45 回复
666
gov110 2018-01-03 16:47:31 回复
可以的6666
cncertt 2017-12-29 15:41:56 回复
大哥 .. 霍丕久
匿名用户 2017-12-28 23:29:39 回复
脚本拿下了
匿名用户 2017-12-27 23:45:59 回复
666
微步情报局 2017-12-27 13:35:15 回复
未来我们会增加样本的详细分析,这样能辅助你分析
匿名用户 2017-12-27 22:35:44 回复
回复@微步情报局: 666
neo 2017-12-27 12:51:34 回复
6666
奖励计划banner
今日推荐