\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr 原因与解决方法

今天一位朋友用的“discuz”论坛程序,结果今天查看日志的时候发现了如下提示:

45.141.86.190 - - [24/Jun/2020:17:47:59 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
45.141.86.190 - - [24/Jun/2020:19:10:50 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
196.52.43.98 - - [25/Jun/2020:02:23:47 +0800] "GET / HTTP/1.1" 403 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3602.2 Safari/537.36"
193.106.30.234 - - [25/Jun/2020:07:00:33 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
59.36.132.240 - - [26/Jun/2020:13:04:18 +0800] "GET http://49.234.16.11:888/ HTTP/1.1" 403 146 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:57.0) Gecko/20100101 Firefox/57.0"
223.71.167.163 - - [27/Jun/2020:02:15:25 +0800] "\x16\x03\x01\x02\x00\x01\x00\x01\xFC\x03\x03n\xE08\xB6\xF1uT" 400 150 "-" "-"
92.118.160.53 - - [27/Jun/2020:02:39:27 +0800] "GET / HTTP/1.1" 403 146 "-" "NetSystemsResearch studies the availability of various services across the internet. Our website is netsystemsresearch.com"
183.136.225.44 - - [27/Jun/2020:19:05:55 +0800] "\x16\x03\x01\x02\x00\x01\x00\x01\xFC\x03\x03\x94&_\x0C\xF2x\xA72\xB9\x95\x9Ez\x8D\x07I\xD6\xAA\x05\xDE\xD2Y\x05\x99\xCEU\xBD\x09\xA9\x8E\x86t\xCE\x00\x00\xDA\x00\x05\x00\x04\x00\x02\x00\x01\x00\x16\x003\x009\x00:\x00\x18\x005\x00" 400 150 "-" "-"
185.202.1.100 - - [27/Jun/2020:21:02:36 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
5.188.206.50 - - [28/Jun/2020:01:18:50 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
182.254.52.17 - - [28/Jun/2020:13:03:28 +0800] "GET http://49.234.16.11:888/ HTTP/1.1" 403 146 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:57.0) Gecko/20100101 Firefox/57.0"

我朋友随意网上查了一下,说这串代码是“远程代码执行漏洞”的特征,然后就怀疑自己的服务器是不是攻击了,然后就叫我帮助看一下。

 

解决方法

想解决问题,肯定要先知道原因,我们就先来看看这串代码是什么意思?这不就可以确定它的危害性了吗?

 

test.html 代码如下:

 <script>
       var str= "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr";
       alert(str);
</script>

 

弹窗结果如下:



\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr

 

上面这串代码其实就是:Javascript \x 16进制 加密过的,我们可以解密一下,结果如下:

Javascript \x 16进制 加密 解密

 

这其实有点类似于“%00截断”,只不过这里变成了 \x 16进制的加密。

 

由于日志我的朋友只给我看了这么一点,因为他不是很懂技术,明天再去下载日志让我多看一些。

如果仅仅只有这串代码的日志,其实也没有什么危害的,就是异常请求而已,可以不用理会。

假设特意去每个网站后面都加这一串代码再去访问,我相信日志也会记录吧!

    A+
发布日期:2020年06月28日 20:17:56  所属分类:Nginx
最后更新时间:2020-10-26 09:24:00
评分: (7 票;平均数2.14 ;最高评分 5 ;用户总数7;总得分 15;百分比42.86)
付杰
SEO顾问 单站最低999元 整站全方位优化
SEO顾问 单站最低999元 整站全方位优化
  • ¥ 999元
  • 市场价:4999元
免费SSL证书 HTTPS申请 安装 配置 支持通配符*
免费SSL证书 HTTPS申请 安装 配置 支持通配符*
  • ¥ 1999.9元
  • 市场价:20000元
刷流量 刷人气 刷点击 刷收藏 刷APP关键词
刷流量 刷人气 刷点击 刷收藏 刷APP关键词
  • ¥ 1.0元
  • 市场价:9.9元
wordpress站群服务 泛解析二级域名 二级目录
wordpress站群服务 泛解析二级域名 二级目录
  • ¥ 1999.9元
  • 市场价:8999元

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:3   其中:访客  0   博主  0

  1. 范明明 0

    我的博客也有大量类似这样的请求,反正返回结果是400,如果量大就屏蔽掉整段ip,如果不是很多可以不予理会吧。

    • 付杰 付杰

      @范明明 如果仅仅只有这段代码,的确是没什么影响。如果还有其它代码就要注意一下了,有可能是漏洞攻击(重点注意thinkphp远程代码执行漏洞)。

  2. 欧文斯 0

    之前也经常遇到类似这种的大量异常访问,后面 IP 全给我拉黑名单了 :mrgreen: