糖豆贴心提醒,本文阅读时间8分钟
1.起因
最近挖矿木马很流行,又遇到struts2漏洞。
把当时的情况给大家分享一下:
2.处理过程
查看服务:
查看服务硬件:
显示为VMware的虚拟机
看进程:
原有的进程实在太多,所以我就删减了一部分,只留下了有用的。
查看网络监听:
除了zabbix_agentd, nagios nrpe 和 mfsmount ,sshd 其他都是java业务进程监听端口。
查看可疑进程:
服务登陆记录:
服务登录记录:
sshd在线情况:
3.查杀黑客
杀掉可疑进程,中断黑客活动:
查黑客文件的时间:
4.问题分析
已经确认漏洞点是在struts2,在几个确定的版本中,struts2会执行http请求header的content-type中的代码。
攻击者可以直接利用这个漏洞在应用所在的服务器上篡改各种命令,生成各种木马,从而导致应用所在的服务器轮为DDOS的肉鸡或挖矿工具,更为甚者导致数据泄露。
解决方案:
1. 根据木马的特征,编写相应的脚本每分钟做扫描,定时终止木马进程,保证木马没有可执行环境。
2. 根据木马目前入侵的位置,定时删除相应目录下的可执行文件,保证木马没有可执行的内容。
3. 降低jboss进程在操作系统的权限,改为非root用户启动,预防被攻入后木马可以随意在系统篡改内容。
4. 根据apache官方和安全网站的建议,修改struts2对于content-type执行的判断,拒绝非法内容的执行。
5. 升级struts2的版本到制定版本
附件:
struts2检测脚本
本文作者:囧囧男
如果你觉得这篇文章还不错,请通过下方收款码向作者进行转账打赏:
