20250804 今日小站拦截攻击的部分典型样本

攻击事件概览

2025年8月4日上午10时许，系统防火墙再次触发红色警报。日志显示：

• 状态：已成功拦截
• 请求类型：POST
• 攻击来源：国际科研网段IP（特征码前缀可识别）
• 目标URI：网站根目录 /
• 分类：通用漏洞过滤器

攻击载荷分析

恶意代码结构

攻击者使用了一段精心混淆的代码片段：

{pbohome/Indexot:if(1)(usort/*>*/(post/*>*/(/*>*/1),create_function/*>*/(/*>*/post/*>*/(/*>*/2),post/*>*/(/*>*/3)));//)}(123){/pbhome/Indexoot:if}

关键特征：

1. 伪装外壳：使用变形后的"pbhome/Indexot"标签（故意拼写错误）
2. 核心攻击链：

   usort(post(...1), create_function(post(...2), post(...3)))

3. 混淆技术：使用/*>*/分割关键符号，绕过WAF检测

技术原理

• create_function：动态生成可执行函数，是代码注入的常见入口点
• usort+回调：利用排序函数触发恶意回调
• post参数嵌套：通过分段提取请求参数构建完整攻击链

请求细节剖析

URL构造

/?tag/index&tag=[恶意字符串]&tagstpl=news.html&lnoc2tspfar1_ue

• 最后参数lnoc2tspfar1_ue可能是漏洞触发标记
• 模仿正常CMS的标签调用方式

HTTP头特征

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Accept-Language: en-US
Content-Type: application/x-www-form-urlencoded
Connection: close

可疑痕迹

1. Content-Length矛盾：声明193字节但POST正文为空
2. 恶意Cookie：

   Cookie: lg=call_user_func

   • 直接暴露PHP回调执行意图
   • 可能与其他攻击载荷配合使用

站长评价：