@cicatrix
было бы большой ошибкой думать

Попытка взлома, чего хотел добиться «хакер»?

Просматривал сегодня логи, обратил внимание на очередную попытку взлома, как я понимаю.
Поскольку интерпретатора php в принципе на сервере asp.net нет, потуги жалкие, но просто любопытно, что хотел добиться человек и что это за "волшебная" комбинация 238947899389478923-34567343546345 ?

Вот отрывок лога:
[06.05.2019 06:44:14]	RQ from 163.232.57.44[CHR(0)]{${print(238947899389478923-34567343546345)}}, 5.135.230.129 url= ххх
[06.05.2019 06:44:14]	Session start for 163.232.57.44[CHR(0)]{${print(238947899389478923-34567343546345)}}, 5.135.230.129 sid=j4w2zjc1yuzenufjzd3u2akn
[06.05.2019 06:44:14]	RQ from 163.232.57.44[CHR(0)]<?php print(238947899389478923-34567343546345); ?>, 5.135.230.129 url= ххх
[06.05.2019 06:44:14]	Session start for 163.232.57.44[CHR(0)]<?php print(238947899389478923-34567343546345); ?>, 5.135.230.129 sid=lgjrfbv5q1f2biggvp1ckbrr
[06.05.2019 06:44:14]	RQ from 163.232.57.44[CHR(0)]'<?php print(238947899389478923-34567343546345); ?>', 5.135.230.129 url= ххх
[06.05.2019 06:44:14]	Session start for 163.232.57.44[CHR(0)]'<?php print(238947899389478923-34567343546345); ?>', 5.135.230.129 sid=5klmtftlo5bwz3k2mb5lj5vg
[06.05.2019 06:44:15]	RQ from 163.232.57.44[CHR(0)]"<?php print(238947899389478923-34567343546345); ?>", 5.135.230.129 url= ххх
[06.05.2019 06:44:15]	Session start for 163.232.57.44[CHR(0)]"<?php print(238947899389478923-34567343546345); ?>", 5.135.230.129 sid=svpmdxrsj1iukozmnpepqucl
[06.05.2019 06:44:15]	RQ from 163.232.57.44[CHR(0)]'{${print(238947899389478923-34567343546345)}}', 5.135.230.129 url= ххх
[06.05.2019 06:44:15]	Session start for 163.232.57.44[CHR(0)]'{${print(238947899389478923-34567343546345)}}', 5.135.230.129 sid=f5myywg5gjndhfpy3coixu3m
[06.05.2019 06:44:16]	RQ from 163.232.57.44[CHR(0)]"{${print(238947899389478923-34567343546345)}}", 5.135.230.129 url= ххх
[06.05.2019 06:44:16]	Session start for 163.232.57.44[CHR(0)]"{${print(238947899389478923-34567343546345)}}", 5.135.230.129 sid=c4k1pkvycjgjflcdct4ntdkb
[06.05.2019 06:44:16]	RQ from 163.232.57.44[CHR(0)]'];print(238947899389478923-34567343546345);//, 5.135.230.129 url= ххх
[06.05.2019 06:44:16]	Session start for 163.232.57.44[CHR(0)]'];print(238947899389478923-34567343546345);//, 5.135.230.129 sid=2vwvsavhbqk4nxdaqalqj0jo
[06.05.2019 06:44:17]	RQ from 163.232.57.44[CHR(0)]"];print(238947899389478923-34567343546345);//, 5.135.230.129 url= ххх
[06.05.2019 06:44:17]	Session start for 163.232.57.44[CHR(0)]"];print(238947899389478923-34567343546345);//, 5.135.230.129 sid=4ilglrkrlcvxv53hdobq1bw4
[06.05.2019 06:44:17]	RQ from 163.232.57.44[CHR(0)]');print(238947899389478923-34567343546345);//, 5.135.230.129 url= ххх
[06.05.2019 06:44:17]	Session start for 163.232.57.44[CHR(0)]');print(238947899389478923-34567343546345);//, 5.135.230.129 sid=ta5slw3vrxdi2r3tagsrh1ii
[06.05.2019 06:44:18]	RQ from 163.232.57.44[CHR(0)]");print(238947899389478923-34567343546345);//, 5.135.230.129 url= ххх
[06.05.2019 06:44:18]	Session start for 163.232.57.44[CHR(0)]");print(238947899389478923-34567343546345);//, 5.135.230.129 sid=hxpupmql5zfbfmhcws2nzujr
[06.05.2019 06:44:18]	RQ from 163.232.57.44[CHR(0)]}print(238947899389478923-34567343546345);{, 5.135.230.129 url= ххх
[06.05.2019 06:44:18]	Session start for 163.232.57.44[CHR(0)]}print(238947899389478923-34567343546345);{, 5.135.230.129 sid=fn0k00r2fw532fpty1lj4xrw
  • Вопрос задан
  • 785 просмотров
Решения вопроса 2
BojackHorseman
@BojackHorseman
...в творческом отпуске...
Вопрос. Чего хотел добиться «хакер»? Ответ. Хотел добиться профита. Материального или нематериального. Это всегда конечная цель любой атаки или попытки атаки.
Вопрос. Что пытался сделать? Ответ. Сканировал скрипты на уязвимость к PHP injection.
Вопрос. Почему такие цифры? Ответ. Рандом. Сами цифры не важны, важно, что атакующий увидит ожидаемый результат в случае удачной атаки.
Вопрос. Что делать? Ответ. Все запросы со скомпрометированных адресов редиректить на отдачу чего-то очень большого с левых ресурсов. Пусть качает гигабайты CP, например.
Ответ написан
chesar
@chesar
Просто ваш ip попал в диапазон, который скормили ботнету проверяющему любой сервер на всевозможные уязвимости.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
Giperoglif
@Giperoglif
php разработчик
а что сервер отвечал? 404? а то в ваших аспнетах непонятно в логах что-то
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы