引言
世界上還是牛人多����,在2011年的時候,一名大三的學(xué)生有了困擾�,隨后上知乎發(fā)布了一個提問大三學(xué)生手頭有6000元,有什么好的理財投資建議?在2017年的今天����,上到了知乎熱門提問,因為在提問下面有一個獲得上萬點贊的回答“買比特幣�����,保存好錢包文件����,然后忘掉你有過6000元這回事,五年后再看看���。
起因
我是一個服務(wù)器�,并且還是一個內(nèi)網(wǎng)的Linux服務(wù)器��,外面武裝了天清漢馬防火墻�,內(nèi)部有firewall,強大的密碼組合��,甚至自己都記不清到底幾位數(shù),然就是這樣我還是被無情的攻擊了��。
那天清晨��,感覺大腦有點發(fā)燒��,趕緊發(fā)出一條top指令:
發(fā)現(xiàn)了一條詭異的進程atd��,CPU占用居然將近600%���,執(zhí)行命令ps -eaf|grep atd:
緊接著find / -name atd查找相關(guān)指令存放地點���。
突然覺得還是先把這個atd進程殺掉為好,kill -9 17257����,立即馬上迅速強行殺死。
隨后退燒了����,但可惡的是,不到幾分鐘�����,又燒了,一看又是atd這個進程在運行�。
殺掉后重新運行,一定是在某個地方有定時�,檢查了一下定時任務(wù)��,crontab -l:
擦�,以前的定時腳本不見了,多了兩條奇怪的任務(wù)����,里面有個網(wǎng)址很特別,復(fù)制到瀏覽器訪問�,本以為是個美女或者驚悚圖,結(jié)果是個大黑圖����,F(xiàn)12圖片網(wǎng)絡(luò)請求發(fā)現(xiàn)Response中居然存在如下代碼:
一坨腳本,狗日的 居然有 rm -rf 這是要要了老子的命?��。���。?! 嚇大趕緊打開藍燈谷歌搜索這個命令,在virustotal找到以下說明:
同時發(fā)現(xiàn)了一條四天前的評論,這是一個腳本�,通過struts漏洞傳播下載和啟動一個bitcode礦工。
在gov.lk中也發(fā)現(xiàn)了有一坨代碼����,隱約發(fā)現(xiàn)與struts2有關(guān):
由于一些老舊項目還在使用struts2,于是查詢了一下相關(guān)日志�,居然發(fā)現(xiàn)了傳說中的OGNL注入
黑客攻擊者通過使用一個表單來發(fā)送一些內(nèi)容到struts請求,該內(nèi)容被OGNL解析�,結(jié)果創(chuàng)建了crontab,擦���,真是耳聞不如一見啊���,也有中招的那一天,就這樣我變成了一個苦逼的挖礦工����。
挖礦組織
Struts2的安全漏洞從2010年開始陸續(xù)被披露存在遠程代碼執(zhí)行漏洞,從2010年的S2-005���、S2-009�����、S2-013 S2-016���、S2-019���、S2-020、S2-032��、S2-037����、devMode�����、及2017年3月初Struts2披露的S045漏洞���,每一次的漏洞爆發(fā)隨后互聯(lián)網(wǎng)都會出現(xiàn)Struts2掃描攻擊活動�����。
此次攻擊針對Struts2的遠程命令執(zhí)行漏洞���,漏洞編號:S2-045��,CVE編號:CVE-2017-5638�����,官方評級為高危�����,該漏洞是由于在使用基于Jakarta插件的文件上傳功能條件下��,惡意用戶可以通過修改HTTP請求頭中的Content-Type值來觸發(fā)該漏洞�����,黑客通過批量對互聯(lián)網(wǎng)的WEB應(yīng)用服務(wù)器發(fā)起攻擊���,并下載惡意腳本執(zhí)行下載進行比特幣挖礦程序,主要感染Linux服務(wù)器��。
經(jīng)檢測和搜索����,這應(yīng)該是一個有組織有紀律的挖礦集團,以下是IP地址來源�����,萬惡的蘇修主義啊,真是亡我天朝之心不死�����。
解決方案
Struts2升級版本至2.5.10�����,高危漏洞又來了�����,這是三月份的一篇升級�,當(dāng)時投機的還是趕緊升了吧�,如果實在不想升級,無所謂反正是挖礦�,不會破壞你什么。
但是���,如果不挖礦呢�,那就傻逼了���?到時候就不是發(fā)燒那么簡單了����,很多公司上線部署都不是很規(guī)范,可能所有的程序都用root啟動也說不定呢�?
文字來源:http://www.cnblogs.com/smallSevens/p/7554380.html
