原创投稿 | 再续服务器被肉鸡的经历-- struts2漏洞

糖豆贴心提醒，本文阅读时间8分钟

1.起因

最近挖矿木马很流行，又遇到struts2漏洞。

把当时的情况给大家分享一下：

2.处理过程

查看服务：

查看服务硬件：

显示为VMware的虚拟机

看进程：

原有的进程实在太多，所以我就删减了一部分，只留下了有用的。

查看网络监听：

除了zabbix_agentd, nagios nrpe 和 mfsmount ，sshd 其他都是java业务进程监听端口。

查看可疑进程：

服务登陆记录：

服务登录记录：

sshd在线情况：

3.查杀黑客

杀掉可疑进程，中断黑客活动：

查黑客文件的时间：

4.问题分析

已经确认漏洞点是在struts2，在几个确定的版本中，struts2会执行http请求header的content-type中的代码。

攻击者可以直接利用这个漏洞在应用所在的服务器上篡改各种命令，生成各种木马，从而导致应用所在的服务器轮为DDOS的肉鸡或挖矿工具，更为甚者导致数据泄露。