\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr 原因与解决方法

今天一位朋友用的“discuz”论坛程序,结果今天查看日志的时候发现了如下提示:

45.141.86.190 - - [24/Jun/2020:17:47:59 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
45.141.86.190 - - [24/Jun/2020:19:10:50 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
196.52.43.98 - - [25/Jun/2020:02:23:47 +0800] "GET / HTTP/1.1" 403 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3602.2 Safari/537.36"
193.106.30.234 - - [25/Jun/2020:07:00:33 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
59.36.132.240 - - [26/Jun/2020:13:04:18 +0800] "GET http://49.234.16.11:888/ HTTP/1.1" 403 146 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:57.0) Gecko/20100101 Firefox/57.0"
223.71.167.163 - - [27/Jun/2020:02:15:25 +0800] "\x16\x03\x01\x02\x00\x01\x00\x01\xFC\x03\x03n\xE08\xB6\xF1uT" 400 150 "-" "-"
92.118.160.53 - - [27/Jun/2020:02:39:27 +0800] "GET / HTTP/1.1" 403 146 "-" "NetSystemsResearch studies the availability of various services across the internet. Our website is netsystemsresearch.com"
183.136.225.44 - - [27/Jun/2020:19:05:55 +0800] "\x16\x03\x01\x02\x00\x01\x00\x01\xFC\x03\x03\x94&_\x0C\xF2x\xA72\xB9\x95\x9Ez\x8D\x07I\xD6\xAA\x05\xDE\xD2Y\x05\x99\xCEU\xBD\x09\xA9\x8E\x86t\xCE\x00\x00\xDA\x00\x05\x00\x04\x00\x02\x00\x01\x00\x16\x003\x009\x00:\x00\x18\x005\x00" 400 150 "-" "-"
185.202.1.100 - - [27/Jun/2020:21:02:36 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
5.188.206.50 - - [28/Jun/2020:01:18:50 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
182.254.52.17 - - [28/Jun/2020:13:03:28 +0800] "GET http://49.234.16.11:888/ HTTP/1.1" 403 146 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:57.0) Gecko/20100101 Firefox/57.0"

我朋友随意网上查了一下,说这串代码是“远程代码执行漏洞”的特征,然后就怀疑自己的服务器是不是攻击了,然后就叫我帮助看一下。

 

解决方法

想解决问题,肯定要先知道原因,我们就先来看看这串代码是什么意思?这不就可以确定它的危害性了吗?

 

test.html 代码如下:

 <script>
       var str= "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr";
       alert(str);
</script>

 

弹窗结果如下:



\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr

 

上面这串代码其实就是:Javascript \x 16进制 加密过的,我们可以解密一下,结果如下:

Javascript \x 16进制 加密 解密

 

这其实有点类似于“%00截断”,只不过这里变成了 \x 16进制的加密。

 

由于日志我的朋友只给我看了这么一点,因为他不是很懂技术,明天再去下载日志让我多看一些。

如果仅仅只有这串代码的日志,其实也没有什么危害的,就是异常请求而已,可以不用理会。

假设特意去每个网站后面都加这一串代码再去访问,我相信日志也会记录吧!

    A+
发布日期:2020年06月28日 20:17:56  所属分类:Nginx
最后更新时间:2020-06-29 09:28:18
评分: (7 票;平均数2.14 ;最高评分 5 ;用户总数7;总得分 15;百分比42.86)
付杰
PHP运行环境 wamp lamp lnmp 安装 配置 搭建
PHP运行环境 wamp lamp lnmp 安装 配置 搭建
  • ¥ 9.9元
  • 市场价:49.9元
SEO顾问 中小型网站 单站最低99.9元 全方位优化
SEO顾问 中小型网站 单站最低99.9元 全方位优化
  • ¥ 99.9元
  • 市场价:5000元
免费SSL证书 HTTPS申请 安装 配置 支持通配符*
免费SSL证书 HTTPS申请 安装 配置 支持通配符*
  • ¥ 199.9元
  • 市场价:20000元
花牛苹果 甘肃天水 李宏恩家自种 1斤 包邮
花牛苹果 甘肃天水 李宏恩家自种 1斤 包邮
  • ¥ 6.8元
  • 市场价:8.8元

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:1   其中:访客  0   博主  0

  1. 欧文斯 0

    之前也经常遇到类似这种的大量异常访问,后面 IP 全给我拉黑名单了 :mrgreen: