原创 admin河马 这里是河马 1周前

警惕最新出现的nginx后门

近日，河马安全团队发现网络上出现nginx的后门。通过该后门黑客可通过特定的请求获取系统的shell，值得注意的是，目前可以逃过所有杀毒软件的查杀。请广大站长朋友注意，如果使用的是nginx，建议进行安全检查，确保网站或服务器安全。

后门详情

经过测试，该后门为反弹shell功能。攻击者可发送特定的cookie内容即可获取服务器权限。此次后门主要是linux系统，该后门为攻击者自行编译并加入后门代码。河马安全团队发现此次事件的nginx版本为1.4.2（不排除其他版本也可能存在）。

测试效果如图：

发送构造的请求

反弹shell

后门检测

方法一: 使用河马查杀已经支持检测改后门程序

河马1.8.1之前版本会将该后门判定为PHP后门

1.8.1版可以检测并正确显示后门

方法二: 使用strings程序查看nginx程序是否存在lkfakjk 字符串

方法三. 校验文件hash

该后门文件md5 hash为ab498686505dfc645e14c6edad280da7。可使用文件校验工具校验nginx程序的值是否匹配。一旦匹配，即确定为后门。该方法对于被入侵后重新编译的nginx无效，优先使用方案一和方案二

修复建议

如发现存在后门，请替换掉该nginx程序，使用自己编译或重新安装nginx程序。同时河马建议各位朋友请勿从非官方渠道安装及使用nginx。

引用或参考链接

1. https://ti.dbappsecurity.com.cn/informationDetail?id=947

2. https://www.virustotal.com/gui/file/f58b8af023ca5885263d6e779cbd935ab9d443227a4e7854303b7d9094e21694/detection