오늘 회사 서버 nginx의 access.log에서 아주 이상한 로그를 우연히 발견했습니다:
으아아아이상한 장소에 관해서는:
http1.0
user-agent는 스크립트입니다
인터넷을 검색해봐도 user-agent를 이용한 공격에 대한 정보는 찾을 수 없었습니다. 로그에 있는 주소를 따라가면 스크립트 코드를 얻을 수 있었지만 능력이 제한되어 공격 대상을 분석할 수 없었습니다.
실례합니다. 혹시 전문가님, 관련 정보나 경험이 있으신가요? 저에게 공유해 주세요. 정말 감사합니다! !
추가됨:
어떤 nginx 구성에서 사용자 에이전트의 콘텐츠를 구문 분석하나요?
阿神2017-05-16 17:12:16
이것은 http1.0의 user-agent 취약점이어야 합니다. 상대방이 귀하의 서버에 스크립트를 주입하여 아파치를 위장할 수 있습니다. code> 서비스를 사용하여 서버를 닭으로 바꾸고 DDOS 공격을 수행하도록 조작하지만 nginx가 해당 스크립트를 실행할지는 모르겠습니다http1.0的user-agent漏洞,你的服务器可能被对方注入脚本,他在你上面伪装了一个apache的服务,把你的服务器搞成了肉鸡,并操纵他进行DDOS攻击,但是我不知道nginx会不会执行它这个脚本
你可以看看你access.log中http://37.1.202.6/mig这个地址。可以看到有个a文件http://37.1.202.6/a
access.log에서 http://37.1.202.6/mig 주소를 확인할 수 있습니다. http://37.1.202.6/a 파일이 있는 것을 확인할 수 있습니다. 이 코드를 살펴보세요. 🎜
滿天的星座2017-05-16 17:12:16
스캐너가 삽입되었습니다. . . 사용자 에이전트가 구문 분석됩니다.
1. 애플리케이션 방화벽 설치
2 Nginx 구성
`
if ($http_user_agent ~* 'curl') #거부된 user_agent를 구성합니다.
{
403을 반환
}
`
过去多啦不再A梦2017-05-16 17:12:16
한 문단 perl 脚本,作用就是 伪装成 Apache
그런 다음 지시를 수락하여 무언가를 하세요. . . 맞습니다, 육계를 잡는 것입니다.