2. 질의 응답
  3. 이것은 가변 주입 시도입니까?

이것은 가변 주입 시도입니까?

2017-09-19 20 views
0

그래서 Sourcefire에서 캡처 한 악의적 인 패킷을 내 서버로 모니터링했습니다.이것은 가변 주입 시도입니까?

패킷 텍스트 :

.PV..4. 
[email protected] 
...s.P......rTP.F..l..lytics.com/analytics.js','ga'); 

    ga('create', 'UA-86400685-1', 'auto'); 
    ga('send', 'pageview'); 

</script> 
     <script type="text/javascript"> 
      var MTUserId='8a71716c-e741-4c82-a6df-f0074c7c3472'; 
      var MTFontIds = new Array(); 

      MTFontIds.push("1075556"); // Avenir.. Next W01 Rounded Regular 
      MTFontIds.push("1075562"); // Avenir.. Next W01 Rounded Medium 
      (function() { 
       var mtTracking = document.createElement('script'); 
       mtTracking.type='text/javascript'; 
       mtTracking.async='true'; 
       mtTracking.src='mtiFontTrackingCode.js'; 

       (document.getElementsByTagName('head')[0]||document.getElementsByTagName('body')[0]).appendChild(mtTracking); 
      })(); 

      eval(function (p, a, c, k, e, d) { e = function (c) { return c.toString(36) }; if (!''.replace(/^/, String)) { while (c--) { d[c.toString(a)] = k[c] || c.toString(a) } k = [function (e) { return d[e] }]; e = function() { return '\\w+' }; c = 1 }; while (c--) { if (k[c]) { p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]) } } return p }('4 8=9.f;4 6=9.k.m(",");4 2=3.j(\'l\');2.h=\'g/5\';2.d=\'b\';2.e=(\'7:\'==3.i.s?\'7:\':\'u:\')+\'//v.n.w/x/1.5?t=5&c=\'+8+\'&o=\'+6;(3.a(\'p\')[0]||3.a(\'q\')[0]).r(2);', 34, 34, '||mtTracking|document|var|css|pf|https|userId|window|getElementsByTagName|stylesheet||rel|href|MTUserId

이는 배쉬 CGI 환경 변수 주입 시도로 간주인가? 누군가이 공격의 해부학 및이 코드를 특히 설명 할 수 있습니까?

미리 감사드립니다. G

출처

2017-09-19 Gabrielius

+0

자바 스크립트 트래커처럼 보입니다. 왜 이것이 배시 주입이라고 생각합니까? – Confuzing

+0

이 질문은 StackOverflow 주제와 관련이 없으며 질문에 어떤 값이라도있는 경우 https://security.stackexchange.com/으로 마이그레이션해야합니다. –

+0

@Confuzing Sourcefire는 Bash 주입으로 분류했습니다. 같은 IP는 다른 것들도 시도했다. 예를 들면 - GET /admin/login.php. 그리고 다양한 다른 관리자 로그인 페이지. IP는 또한 여러 블랙리스트에서 악성 활동에 대해보고됩니다. – Gabrielius

답변

3

내가 말할 수있는 한 멀지 만 online javascript unpacker을 사용하면 마지막 줄을 풀고 간단한 추적 코드를 찾을 수 있습니다. 사생활 침해를 '양성'이라고 부르지는 않을 것입니다. 그러나 이것은 사혈처럼 보이지 않습니다.

var userId=window.MTUserId; 
var pf=window.k.m(","); 
var mtTracking=document.j('l'); 
mtTracking.h='g/css'; 
mtTracking.rel='stylesheet'; 
mtTracking.href=('https:'==document.i.s?'https:':'u:')+'//v.n.w/x/1.css?t=css&c='+userId+'&o='+pf; 
(document.getElementsByTagName('p')[0]||document.getElementsByTagName('q')[0]).r(mtTracking);

출처

2017-09-19 23:08:25

 관련 문제

  • 관련 문제 없음^_^