今天突然收到了公司安全部门来的一条告警信息,回忆了下忘记当时是重装还是更新了。leap15.3。看内容似乎是去拉了一个 repodata 下的文件,ua 是 zypp,去其他源上看了下,也有这个文件 829c04cd****.xml.gz,所以应该不是文件的问题(像是拉文件的时候触发了某些逻辑?)?还有 GET 前面的那一串编码,信息不多,so,zypp 在这个阶段一般都干啥~ 对 zypp 机制不太了解,xdm,能看出啥来不~
======下面是告警信息======
| 2021-06-15 20:12:36 | 202.154.57.167 | 恶意软件 | 远控木马 | 普通远控木马活动事件 | buaya.klas.or.id | 失陷 | 高危 | 1 | 命令控制 | /opensuse/update/leap/15.3/oss/repodata/829c04cd20f0e13e637922ec54e5cf7005990b81e7686f231222625d06e5e354-primary.xml.gz | buaya.klas.or.id | 探针 | OilRig,APT37,PLATINUM,APT32 | T1094 | 外部攻击 | 否 | “\u0000\u001cT\u00ff\u0010*4k[\u0084\u00c6\u0001\u0081\u0000\u000f\u00cb\b\u0000E\u0000\u0001) 3\u00af@\u0000?\u0006+u\n[\u00cd\u000e\u00ca\u009a9\u00a7\u009c\u0092\u0000P\u00984\u00d73\u00d3\u0019&v\u0080\u0018\u0001\u00f6\u0084u\u0000\u0000\u0001\u0001\b\n\u0019\u0006;Q\u008f\u00a0g\u00b3GET /opensuse/update/leap/15.3/oss/repodata/829c04cd20f0e13e637922ec54e5cf7005990b81e7686f231222625d06e5e354-primary.xml.gz HTTP/1.1\r\nHost: buaya.klas.or.id\r\nRange: bytes=1048576-1056817\r\nUser-Agent: ZYpp 17.25.10 (curl 7.66.0) \r\nAccept: /\r\n\r\n” | 印度尼西亚 (-7.257177/112.752051) | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 2021-06-15 20:12:35 | 恶意软件 | 远控木马 | 普通远控木马活动事件 | buaya.klas.or.id | 失陷 | 高危 | 1 | 命令控制 | buaya.klas.or.id | 探针 | OilRig,APT37,PLATINUM,APT32 | T1094 | 其他 | 否 | “\u0000\u001cT\u00ff\b\u001e4k[\u0084\u00c6\u0001\u0081\u0000\u000f\u00ca\b\u0000E\u0000\u0000>\u0000$@\u0000?\u0011Wo\n[\u00cd\u000e\nX\u0002[\u00b2\u0097\u00005\u0000*\u001bm\u009eq\u0001\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0005buaya\u0004klas\u0002or\u0002id\u0000\u0000\u0001\u0000\u0001” |
,,可惜没有把日志留下来,,,有一点点印象但不确定了 似乎下班前摸鱼,把电脑从 ub 改 SUSE,中间遇到网络问题还是什么突然感觉有点慢,但是好像也没有操作啥,em,找时间单独试着复现一次看看~(PS:如果 suse 自动探测会查到/使用这个源的话建议发信 or 拉黑? 
)