日本安全公司发现360webscan神秘攻击

互联网  /  houtizong 发布于 3年前   60

匿名读者写道 "2013年6月11日，HASH咨询有限公司的安全中心(HASH-CSOC)观测了到一个奇妙的攻击需求，是由以下的URL(链接)进行的：http://example.jp/?s=/abc/abc/abc/$%7B@print(md5(base64_decode(MzYwd2Vic2Nhbg)))%7D/

将百分号中间内容解码的话得到如下结果：

/abc/abc/abc/${@print(md5(base64_decode(MzYwd2Vic2Nhbg)))}/

用{}圈起来的部分看似象PHP的脚本,但是有2处语法错误.

·               MzYwd2Vic2Nhbg没有被引用

·               }的前面没有分号

其中, 有关MzYwd2Vic2Nhbg的调用由于@print的报错而被中止，如果将其用base64进行解码,就成为了360webscan.所以,这种攻击就被暂时命名为[360webscan攻击].

在PHP脚本中,如果补齐缺少的分号,就会有以下结果.

$ php 

<?php 

@print(md5(base64_decode(MzYwd2Vic2Nhbg))); 

ed1e83f8d8d90aa943e4add2ce6a4cbf

如果搜索360webscan和ed1e83f8d8d90aa943e4add2ce6a4cbf,前者为多数,后者大概在10条左右.看上去中国的网站比较多.

这个攻击的意图还不清楚,但是从将PHP脚本的碎片当作参数来通过这点来看,也许是为了执行这个而做的后门在先,然后确认是否进行攻击的需求.但也有完全错误的可能.

我们将会继续监视这种攻击。"