记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

最新的nginx后门

2020-07-19 00:11

警惕最新出现的nginx后门

近日,河马安全团队发现网络上出现nginx的后门。通过该后门黑客可通过特定的请求获取系统的shell,值得注意的是,目前可以逃过所有杀毒软件的查杀。请广大站长朋友注意,如果使用的是nginx,建议进行安全检查,确保网站或服务器安全。

后门详情

经过测试,该后门为反弹shell功能。攻击者可发送特定的cookie内容即可获取服务器权限。此次后门主要是linux系统,该后门为攻击者自行编译并加入后门代码。河马安全团队发现此次事件的nginx版本为1.4.2(不排除其他版本也可能存在)。

测试效果如图:

发送构造的请求

反弹shell


后门检测

方法一: 使用河马已经支持检测改后门程序

 河马1.8.1之前版本会将该后门判定为PHP后门

 


   1.8.1版可以检测并正确显示后门



方法二: 使用strings程序查看nginx程序是否存在lkfakjk 字符串



 方法三. 校验文件hash

该后门文件md5 hash为ab498686505dfc645e14c6edad280da7。可使用文件校验工具校验nginx程序的值是否匹配。一旦匹配,即确定为后门。该方法对于被入侵后重新编译的nginx无效,优先使用方案一和方案二


修复建议

如发现存在后门,请替换掉该nginx程序,使用自己编译或重新安装nginx程序。同时河马建议各位朋友请勿从非官方渠道安装及使用nginx。


引用或参考链接

  1. https://ti.dbappsecurity.com.cn/informationDetail?id=947

  1. https://www.virustotal.com/gui/file/f58b8af023ca5885263d6e779cbd935ab9d443227a4e7854303b7d9094e21694/detection




知识来源: https://mp.weixin.qq.com/s/Vyfto0qn4L16s9dNfVOEqQ

阅读:34786 | 评论:0 | 标签:后门 nginx

想收藏或者和大家分享这篇好文章→复制链接地址

“最新的nginx后门”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云