漏洞战争：一次服务器被肉鸡的经历

Python中文社区专栏作者：囧囧男

1.起因

最近挖矿木马很流行，又遇到struts2漏洞。

把当时的情况给大家分享一下：

2.处理过程

查看服务：

查看服务硬件：

显示为VMware的虚拟机

看进程：

原有的进程实在太多，所以我就删减了一部分，只留下了有用的。

查看网络监听：

除了zabbix_agentd, nagios nrpe 和 mfsmount ，sshd 其他都是java业务进程监听端口。

查看可疑进程：

服务登陆记录：

服务登录记录：

sshd在线情况：

3.查杀黑客

杀掉可疑进程，中断黑客活动：

查黑客文件的时间：

4.问题分析

已经确认漏洞点是在struts2，在几个确定的版本中，struts2会执行http请求header的content-type中的代码。

攻击者可以直接利用这个漏洞在应用所在的服务器上篡改各种命令，生成各种木马，从而导致应用所在的服务器轮为DDOS的肉鸡或挖矿工具，更为甚者导致数据泄露。

解决方案:

1. 根据木马的特征，编写相应的脚本每分钟做扫描，定时终止木马进程，保证木马没有可执行环境。

2. 根据木马目前入侵的位置，定时删除相应目录下的可执行文件，保证木马没有可执行的内容。

3. 降低jboss进程在操作系统的权限，改为非root用户启动，预防被攻入后木马可以随意在系统篡改内容。

4. 根据apache官方和安全网站的建议，修改struts2对于content-type执行的判断，拒绝非法内容的执行。

5. 升级struts2的版本到制定版本

附件：

struts2检测脚本