管理员朋友,请警惕最新出现的nginx后门

最新推荐文章于 2024-07-22 16:38:46 发布
最新推荐文章于 2024-07-22 16:38:46 发布
阅读量422 收藏
点赞数
文章标签: nginx linux 安全 java python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chennqqi/article/details/107679535
版权

警惕最新出现的nginx后门

近日,河马安全团队发现网络上出现nginx的后门。通过该后门黑客可通过特定的请求获取系统的shell,值得注意的是,目前可以逃过所有杀毒软件的查杀。请广大站长朋友注意,如果使用的是nginx,建议进行安全检查,确保网站或服务器安全。

后门详情

经过测试,该后门为反弹shell功能。攻击者可发送特定的cookie内容即可获取服务器权限。此次后门主要是linux系统,该后门为攻击者自行编译并加入后门代码。河马安全团队发现此次事件的nginx版本为1.4.2(不排除其他版本也可能存在)。

测试效果如图:

发送构造的请求

反弹shell

后门检测

方法一: 使用河马查杀已经支持检测改后门程序

 河马1.8.1之前版本会将该后门判定为PHP后门

 

   1.8.1版可以检测并正确显示后门

方法二: 使用strings程序查看nginx程序是否存在lkfakjk 字符串

 方法三. 校验文件hash

该后门文件md5 hash为ab498686505dfc645e14c6edad280da7。可使用文件校验工具校验nginx程序的值是否匹配。一旦匹配,即确定为后门。该方法对于被入侵后重新编译的nginx无效,优先使用方案一和方案二

修复建议

如发现存在后门,请替换掉该nginx程序,使用自己编译或重新安装nginx程序。同时河马建议各位朋友请勿从非官方渠道安装及使用nginx。

引用或参考链接

  1. https://ti.dbappsecurity.com.cn/informationDetail?id=947

  1. https://www.virustotal.com/gui/file/f58b8af023ca5885263d6e779cbd935ab9d443227a4e7854303b7d9094e21694/detection

折叠车
关注
Nginx HTTPS实践
江晓龙的博客
06-30 2万+
因为HTTP采用的是明文传输数据,那么在传输(账号密码、交易信息等敏感数据)时不安全。容易遭到篡改如果使用HTTPS协议,数据在传输过程中是加密的,能够有效避免网站传输时信息泄露HTTPS安全的超文本传输协议,我们现在大部分站点都是通过HTTPS来实现站点数据安全。早期网景公司设计了SSL(Secure Socket Layer)安全套接层协议,主要对HTTP协议传输的数据进行加密。那如何将站点变成安全的HTTPS站点呢?我们需要了解SSL(Secure Socket Layer)协议。
【微服务】一文了解Nginx网关搭建教程
热门推荐
热爱技术,享受生活
06-22 2万+
nginx是一个高性能HTTP服务器,反向代理服务器,邮件代理服务器,TCP/UDP反向代理服务器。单个系统主要用于处理客户端求,一个系统处理客户端的求量是有限的,当客户端的并发量超过了系统的处理能力的时候,就会导致服务器性能降低,速度变慢,直接影响用户体验,所以为了提升性能,我们会创建多个服务实例,形成集群系统用于保证高可用。也有部分业务场景,需要暴露给第三方,所以我们需要暴露出部分接口给第三方,这个时候我们就可以利用Nginx的反向代理,来代理我们的后端服务器。
nginx backdoor
cnbird's blog
08-26 1089
https://github.com/t57root/pwnginx
Nginx后门集合
最新发布
2301_80127209的博客
07-22 1148
保姆级学习当前已知的Nginx后门
红帽学习nginx+php-fpm预留后门
qq_40168905的博客
11-01 642
掌握nginx+php-fpm学习
Nginx爆出漏洞 百万网站面临风险
weixin_34072637的博客
06-06 287
2019独角兽企业重金招聘Python工程师标准>>> ...
再谈几种Nginx后门——发现与修复
chennqqi的专栏
07-20 1417
Nginx(engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。河马安全团队在上一篇文章中预警了一个最近流行的nginx后门...
Ubuntu: 安装最新版本的 Nginx
yuntaoren的博客
04-17 3736
Ubuntu 默认 apt 源中的 Nginx 版本比较旧,今天介绍下如何在 Ubuntu 中安装最新版本的 Nginx。 要安装较新版本的 Nginx, 可以使用 Nginx 的 APT 源。执行如下脚本来添加 Nginx APT 源: #!/bin/bash release=$(lsb_release -cs) cat <<EOF > /etc/apt/sources.list.d/nginx.list deb https://nginx.org/packages/ubunt
nginx-1.19.3_nginx-http-flv-module.rar
09-01
标题中的"nginx-1.19.3_nginx-...为了确保正确运行,用户需要了解Nginx的基本配置,以及如何在服务器环境中部署和管理这个预编译的版本。此外,对于流媒体服务,还需要关注带宽、服务器性能以及客户端兼容性等问题。
nginx+flume 数据采集
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
07-06 3667
本实验任务主要完成基于ubuntu环境使用nginx+flume的工作方式进行数据采集。通过完成本实验任务,要求学生了解并掌握nginx的安装、nginx的基础语法、采集数据方法以及配置格式,为从事大数据平台运维工程师、大数据技术支持工程师等岗位工作奠定夯实的技能基础。掌握flume的应用原理   掌握nginx+flume对日志信息的采集过程本次环境是:Ubuntu16.04+flume-ng-1.5.0-cdh5.3.6Flume是Cloudera提供的日志收集系统,Flume支持在日志系统中定制各类数
Nginx
qq_41419417的博客
12-20 187
Nginx关于Nginx一个初步的认识: 关于Nginx一个初步的认识:
隐蔽后门
0ffs3t
11-27 799
nginx前几天nginx和IIS7都爆解析漏洞,搞了几个shell都丢了,于是想寻找一个超级隐蔽的后门方法。无意中发现include这个函数可以把任意文件解析为php执行.网上   去搜索include函数漏洞,得到的结果很少.绝大多数是关于文件包含漏洞,比如用变量作为包含对像,这只是针对程序,而非针对php下include()这个函数.关于说这   个函数把任意文件解析为php的文
linux系统***留后门方法+日志清除
weixin_34236497的博客
09-19 255
1. setuid #cp /bin/sh /tmp/.sh #chmod u+s /tmp/.sh 加上 suid 位到shell上,虽然很简单,但容易被发现 2. echo “hack::0:0::/:/bin/csh” >> /etc/passwd 即给系统增加一个 id 为 0(root)的帐号,无口令。 但管理员很快就可以发现哦! ...
nginx防止后门程序跳转跨目录
weixin_33724059的博客
12-17 352
为什么80%的码农都做不了架构师?>>> ...
php nginx func_PHP常见代码执行后门函数(示例代码)
weixin_39943547的博客
03-08 163
PHP常见代码执行后门函数代码执行:应用程序在调用一些能够将字符串转换为代码的函数(例如php中的eval中),没有考虑用户是否控制这个字符串,将造成代码执行漏洞。常见php代码执行函数介绍常用执行代码函数1、eval():eval函数将接受的字符串当做代码执行2、 assert():用法和 eval()一样3、preg_replace():preg_replace 函数一个参数是一个正则表达式,...
Nginx PHP 远程代码执行漏洞复现(CVE-2019-11043)
谢公子的博客
10-24 1979
漏洞背景:来自Wallarm的安全研究员Andrew Danau在9月14-16号举办的Real World CTF中,意外的向服务器发送%0a(换行符)时,服务器返回异常信息。由此发现了这个0day漏洞 漏洞描述:当Nginx使用特定的 fastcgi 配置时,存在远程代码执行漏洞,但这个配置并非是Nginx的默认配置。只有当fastcgi_split_path_info 字段被配置为 ^(....
linux 系统命令被后门修改_某Nginx后门分析复现与改写
weixin_39958138的博客
11-21 187
本文为看雪论坛精华文章看雪论坛作者ID:Risks背景前几天,接到一个nginx后门样本,本着就分析和复现的思路,完整的将整个过程做一次复现,不料最终还获取到了后门的核心代码部分,遂将其整理发布。在后续分析之前先来了解下nginx后门的功能。通过在Cookie中包含特征字符串lkfakjfa,并填写需要反弹的ip和端口,完成shell反弹,这就是后门的一个大致情况。样本信息MD5: ab49868...
寻找绝对隐蔽的后门的办法 分享
weixin_34363171的博客
07-08 411
nginx前几天nginx和IIS7都爆解析漏洞,搞了几个shell都 丢了,于是想寻找一个超级隐蔽的后门方法。无意中发现include这个函数可以把任意文件解析为php执行.网上去 搜索include函数漏洞,得到的结果很少.绝大多数是关于文件包含漏洞,比如用变量作为包含对像,这只是针对程序,而非针对php下 include()这个函数.关于说这个函数把任意文件解析为p...
Nginx管理员完全指南:Master与Worker进程解析
"Nginx管理员指南1" 在深入探讨Nginx管理之前,我们先了解一下Nginx的基本架构。Nginx是一款高性能的HTTP和反向代理服务器,以其高效的并发处理能力和低内存占用而著名。在标题和描述中提到的"Longest wildcard ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值