我被黑客入侵了,检查 nginx 日志后,我发现了几个类似这样的请求:
169.229.3.91 - - [18/Jun/2016:09:42:19 +0000] ")\xE7\xD1?\xD6\x18.\xC0\xCE\xA3\x7FR\xEA~O$\x0BLi\x13\xA0m\xE7\xF0H4\x92\xD6\xBFv\xD2\xDF3\xFCX#T\x0B\xB6\xE4XmU\xEF$\x03\xC9/\xFD\xDEf\x00\x89Prq\x1A\xB5\x13\x0CoGOn" 400 173 "-" "-"
`
我怀疑XML-RPC 攻击从我的服务器生成但我无法确认,有什么方法可以将该代码转换为人类可读的文本?
答案1
不知道如何破解,但要转换二进制文件,您可以printf在命令行上使用,如下所示:
printf %b ")\xE7\xD1?\xD6\x18.\xC0\xCE\xA3\x7FR\xEA~O$\x0BLi\x13\xA0m\xE7\xF0H4\x92\xD6\xBFv\xD2\xDF3\xFCX#T\x0B\xB6\xE4XmU\xEF$\x03\xC9/\xFD\xDEf\x00\x89Prq\x1A\xB5\x13\x0CoGOn"
但它仍然难以阅读。
答案2
这是一个巧妙的解码器: http://ddecode.com/hexdecoder/
没有答案...但是,您是否使用了受支持的操作系统并且它是否已完全修补?
有哪些各种附加组件(例如 Java、Nginx、数据库等)?它们是否已完全修补?
您在同一个域中的其他服务器怎么样?