0
私は自分のサーバーに向かうSourcefireによって捕獲された悪質なパケットを監視しました。これは可変注入試行ですか?
パケットテキスト:
.PV..4.
[email protected]
...s.P......rTP.F..l..lytics.com/analytics.js','ga');
ga('create', 'UA-86400685-1', 'auto');
ga('send', 'pageview');
</script>
<script type="text/javascript">
var MTUserId='8a71716c-e741-4c82-a6df-f0074c7c3472';
var MTFontIds = new Array();
MTFontIds.push("1075556"); // Avenir.. Next W01 Rounded Regular
MTFontIds.push("1075562"); // Avenir.. Next W01 Rounded Medium
(function() {
var mtTracking = document.createElement('script');
mtTracking.type='text/javascript';
mtTracking.async='true';
mtTracking.src='mtiFontTrackingCode.js';
(document.getElementsByTagName('head')[0]||document.getElementsByTagName('body')[0]).appendChild(mtTracking);
})();
eval(function (p, a, c, k, e, d) { e = function (c) { return c.toString(36) }; if (!''.replace(/^/, String)) { while (c--) { d[c.toString(a)] = k[c] || c.toString(a) } k = [function (e) { return d[e] }]; e = function() { return '\\w+' }; c = 1 }; while (c--) { if (k[c]) { p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]) } } return p }('4 8=9.f;4 6=9.k.m(",");4 2=3.j(\'l\');2.h=\'g/5\';2.d=\'b\';2.e=(\'7:\'==3.i.s?\'7:\':\'u:\')+\'//v.n.w/x/1.5?t=5&c=\'+8+\'&o=\'+6;(3.a(\'p\')[0]||3.a(\'q\')[0]).r(2);', 34, 34, '||mtTracking|document|var|css|pf|https|userId|window|getElementsByTagName|stylesheet||rel|href|MTUserId
が、これはbashのCGI環境変数インジェクションの試みと考えられますか? 誰かがこの攻撃とこのコードの解剖学的構造を説明できますか?
ありがとうございます。 G
javascriptトラッカーのように見えますが、なぜそれがバッシュインジェクションだと思いますか? – Confuzing
これはStackOverflowのトピックではないので、質問に値があればhttps://security.stackexchange.com/に移行してください。 –
@Confuzing SourcefireはBashインジェクションとして分類しました。同じIPは他のものも試してみました。例えば、 - GET /admin/login.php。その他のさまざまなAdminログインページ。 IPは、いくつかのブラックリストで悪意のある活動についても報告されています。 – Gabrielius