警惕最新出现的nginx后门
近日,河马安全团队发现网络上出现nginx的后门。通过该后门黑客可通过特定的请求获取系统的shell,值得注意的是,目前可以逃过所有杀毒软件的查杀。请广大站长朋友注意,如果使用的是nginx,建议进行安全检查,确保网站或服务器安全。
后门详情
经过测试,该后门为反弹shell功能。攻击者可发送特定的cookie内容即可获取服务器权限。此次后门主要是linux系统,该后门为攻击者自行编译并加入后门代码。河马安全团队发现此次事件的nginx版本为1.4.2(不排除其他版本也可能存在)。
测试效果如图:
发送构造的请求 反弹shell后门检测
方法一: 使用河马查杀已经支持检测改后门程序
河马1.8.1之前版本会将该后门判定为PHP后门
1.8.1版可以检测并正确显示后门
方法二: 使用strings程序查看nginx程序是否存在lkfakjk 字符串
方法三. 校验文件hash
该后门文件md5 hash为ab498686505dfc645e14c6edad280da7
。可使用文件校验工具校验nginx程序的值是否匹配。一旦匹配,即确定为后门。该方法对于被入侵后重新编译的nginx无效,优先使用方案一和方案二
修复建议
如发现存在后门,请替换掉该nginx程序,使用自己编译或重新安装nginx程序。同时河马建议各位朋友请勿从非官方渠道安装及使用nginx。
引用或参考链接
https://ti.dbappsecurity.com.cn/informationDetail?id=947
https://www.virustotal.com/gui/file/f58b8af023ca5885263d6e779cbd935ab9d443227a4e7854303b7d9094e21694/detection