基于OpenAPI的APIcat开源日志监控软件已经开发一段时间了,在自己的网站上抓到了一些HTTP的攻击,没事,我们就汇总给大家做个赏析,也当是个提醒。
这是一篇系列文章,数据反馈,看的人还是不少的,感谢大家支持,跳转查看更多:
对应的OpenAPI定义上传到了百家饭平台
API攻击样例详情
https://rongapi.cn/api/detail/64
/systembc/password.php
和一款叫systembc有关的漏洞,这软件自己就是个malware,黑吃黑?
/nmaplowercheck123145
后面的数字不一定,如果是nmaplowercheck开头的通常都是有人试图使用nmap扫描你的所有开放端口
/evox/about
一种和HVAC设备配套的面板会暴露出来的信息点,也被nmap使用来探测漏洞,还有对应的开源脚本,暴露的信息里有userId和password等,应该会用于下一步探测
/HNAP1
一个和D-link设备相关的注入攻击点
/server-info
apache安装mod_info之后,如果没有设置对应的权限,这个url就成为了一个获取服务器信息的泄漏点。(这个url有点常见,可能还有别的相关软件的问题)
/nice ports,/Trinity.txt.bak
又一个和nmap相关的探测行为
/admin/assets/js/views/login.js
一个和一款叫Sangoma FreePBX的开源语音控制软件相关的漏洞攻击点,查了下,2020年的时候,这个漏洞是美国漏洞的Top 4,中国这边应该不多吧
/geoserver/web/, geoserver/rest
跟一个叫geoserver的java开源软件相关的检测机制漏洞
/.git/config
探测我是不是git服务器?
/wp-content/plugins/freedom/sonarxleetxd.php
和word-press相关的一系列漏洞,我这看到的就包括,应该还不少
| /wp-content/plugins/upds/xleet.php |
| /wp-content/plugins/sid/xleet.php |
| /wp-content/plugins/rafda/xleet.php |
| /wp-content/plugins/freedom/sonarxleetxd.php |
| /wp-content/plugins/ubh/xleet.php |
/client/get_targets
和某些远程控制软件相关的泄漏点,又一个黑吃黑么?应该和DDos攻击相关,搜这个的时候还搜到了俄乌战争网战的内容……
NoName057(16) - The Pro-Russian Hacktivist Group Targeting NATO - SentinelOne
https://www.sentinelone.com/labs/noname05716-the-pro-russian-hacktivist-group-targeting-nato/ 很精彩啊,感兴趣的可以进一步搜索C2服务器