Ich habe also ein bösartiges Paket überwacht, das von Sourcefire auf meinen Server übertragen wurde.Ist das ein variabler Injektionsversuch?
Packet Text:
.PV..4.
[email protected]
...s.P......rTP.F..l..lytics.com/analytics.js','ga');
ga('create', 'UA-86400685-1', 'auto');
ga('send', 'pageview');
</script>
<script type="text/javascript">
var MTUserId='8a71716c-e741-4c82-a6df-f0074c7c3472';
var MTFontIds = new Array();
MTFontIds.push("1075556"); // Avenir.. Next W01 Rounded Regular
MTFontIds.push("1075562"); // Avenir.. Next W01 Rounded Medium
(function() {
var mtTracking = document.createElement('script');
mtTracking.type='text/javascript';
mtTracking.async='true';
mtTracking.src='mtiFontTrackingCode.js';
(document.getElementsByTagName('head')[0]||document.getElementsByTagName('body')[0]).appendChild(mtTracking);
})();
eval(function (p, a, c, k, e, d) { e = function (c) { return c.toString(36) }; if (!''.replace(/^/, String)) { while (c--) { d[c.toString(a)] = k[c] || c.toString(a) } k = [function (e) { return d[e] }]; e = function() { return '\\w+' }; c = 1 }; while (c--) { if (k[c]) { p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]) } } return p }('4 8=9.f;4 6=9.k.m(",");4 2=3.j(\'l\');2.h=\'g/5\';2.d=\'b\';2.e=(\'7:\'==3.i.s?\'7:\':\'u:\')+\'//v.n.w/x/1.5?t=5&c=\'+8+\'&o=\'+6;(3.a(\'p\')[0]||3.a(\'q\')[0]).r(2);', 34, 34, '||mtTracking|document|var|css|pf|https|userId|window|getElementsByTagName|stylesheet||rel|href|MTUserId
Ist das eine Bash CGI-Umgebungsvariable Injektion Versuch in Betracht gezogen? Kann jemand die Anatomie dieses Angriffs und insbesondere diesen Code erklären?
Vielen Dank im Voraus. G
Es sieht aus wie ein Javascript-Tracker, was macht Sie denken, es ist Bash-Injektion? – Confuzing
Dies ist Off-Topic für StackOverflow und sollte zu https://security.stackexchange.com/ migriert werden, wenn die Frage irgendeinen Wert hat –
@Confuzing Sourcefire klassifiziert es als eine Bash-Injektion; die gleiche IP hat auch andere Sachen ausprobiert, zum Beispiel - GET /admin/login.php. Und verschiedene andere Admin-Anmeldeseiten. IP wird auch auf mehreren Blacklists für bösartige Aktivitäten gemeldet. – Gabrielius