今日、会社サーバー上のnginxのaccess.logで非常に奇妙なログを偶然発見しました:
リーリー奇妙な場所に関しては:
http1.0を使用しています
ユーザーエージェントはスクリプトです
インターネットで検索したところ、ユーザーエージェントを使用した攻撃に関する情報は見つかりませんでした。ログのアドレスをたどってスクリプトコードを取得することはできましたが、私の能力には限界があり、攻撃対象を解析することはできませんでした。
すみません、専門家の方、関連する情報や経験をお持ちですか?ぜひシェアしてください、ありがとうございます! !
追加:
nginx のどのような設定でユーザーエージェントのコンテンツを解析しますか?
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
これは次のようになります
あなたを見てくださいhttp1.0的user-agent漏洞,你的服务器可能被对方注入脚本,他在你上面伪装了一个apache的服务,把你的服务器搞成了肉鸡,并操纵他进行DDOS攻击,但是我不知道nginxこのスクリプトは実行されますか?このコードを見てください。
access.log中http://37.1.202.6/mig这个地址。可以看到有个a文件http://37.1.202.6/aスキャナーが挿入されました。 。 。ユーザーエージェントが解析されます。
`1. アプリケーションファイアウォールをインストールする
2. Nginxを設定する
if ($http_user_agent ~* 'curl') #拒否された user_agent を設定します。
{
リターン
}
`
ひと段落
perl脚本,作用就是 伪装成Apacheその後、何かをするための指示を受け入れます。 。 。そう、ブロイラーの捕獲です。