引言
世界上還是牛人多���,在2011年的時(shí)候��,一名大三的學(xué)生有了困擾�,隨后上知乎發(fā)布了一個(gè)提問(wèn)大三學(xué)生手頭有6000元����,有什么好的理財(cái)投資建議?在2017年的今天,上到了知乎熱門提問(wèn)���,因?yàn)樵谔釂?wèn)下面有一個(gè)獲得上萬(wàn)點(diǎn)贊的回答“買比特幣����,保存好錢包文件���,然后忘掉你有過(guò)6000元這回事�,五年后再看看���。
起因
我是一個(gè)服務(wù)器,并且還是一個(gè)內(nèi)網(wǎng)的Linux服務(wù)器,外面武裝了天清漢馬防火墻�����,內(nèi)部有firewall�,強(qiáng)大的密碼組合,甚至自己都記不清到底幾位數(shù)�����,然就是這樣我還是被無(wú)情的攻擊了��。
那天清晨�����,感覺(jué)大腦有點(diǎn)發(fā)燒���,趕緊發(fā)出一條top指令:
發(fā)現(xiàn)了一條詭異的進(jìn)程atd�,CPU占用居然將近600%�,執(zhí)行命令ps -eaf|grep atd:
緊接著find / -name atd查找相關(guān)指令存放地點(diǎn)。
突然覺(jué)得還是先把這個(gè)atd進(jìn)程殺掉為好���,kill -9 17257�,立即馬上迅速?gòu)?qiáng)行殺死。
隨后退燒了����,但可惡的是,不到幾分鐘�,又燒了,一看又是atd這個(gè)進(jìn)程在運(yùn)行���。
殺掉后重新運(yùn)行����,一定是在某個(gè)地方有定時(shí)�����,檢查了一下定時(shí)任務(wù)�,crontab -l:
擦,以前的定時(shí)腳本不見(jiàn)了��,多了兩條奇怪的任務(wù)�����,里面有個(gè)網(wǎng)址很特別��,復(fù)制到瀏覽器訪問(wèn),本以為是個(gè)美女或者驚悚圖�,結(jié)果是個(gè)大黑圖����,F(xiàn)12圖片網(wǎng)絡(luò)請(qǐng)求發(fā)現(xiàn)Response中居然存在如下代碼:
一坨腳本,狗日的 居然有 rm -rf 這是要要了老子的命?����。��。�����?����! 嚇大趕緊打開(kāi)藍(lán)燈谷歌搜索這個(gè)命令�����,在virustotal找到以下說(shuō)明:
同時(shí)發(fā)現(xiàn)了一條四天前的評(píng)論�,這是一個(gè)腳本�����,通過(guò)struts漏洞傳播下載和啟動(dòng)一個(gè)bitcode礦工����。
在gov.lk中也發(fā)現(xiàn)了有一坨代碼�,隱約發(fā)現(xiàn)與struts2有關(guān):
由于一些老舊項(xiàng)目還在使用struts2,于是查詢了一下相關(guān)日志��,居然發(fā)現(xiàn)了傳說(shuō)中的OGNL注入
黑客攻擊者通過(guò)使用一個(gè)表單來(lái)發(fā)送一些內(nèi)容到struts請(qǐng)求��,該內(nèi)容被OGNL解析�����,結(jié)果創(chuàng)建了crontab��,擦�����,真是耳聞不如一見(jiàn)啊����,也有中招的那一天����,就這樣我變成了一個(gè)苦逼的挖礦工�����。
挖礦組織
Struts2的安全漏洞從2010年開(kāi)始陸續(xù)被披露存在遠(yuǎn)程代碼執(zhí)行漏洞���,從2010年的S2-005、S2-009���、S2-013 S2-016��、S2-019����、S2-020���、S2-032��、S2-037���、devMode���、及2017年3月初Struts2披露的S045漏洞,每一次的漏洞爆發(fā)隨后互聯(lián)網(wǎng)都會(huì)出現(xiàn)Struts2掃描攻擊活動(dòng)���。
此次攻擊針對(duì)Struts2的遠(yuǎn)程命令執(zhí)行漏洞��,漏洞編號(hào):S2-045�,CVE編號(hào):CVE-2017-5638����,官方評(píng)級(jí)為高危,該漏洞是由于在使用基于Jakarta插件的文件上傳功能條件下���,惡意用戶可以通過(guò)修改HTTP請(qǐng)求頭中的Content-Type值來(lái)觸發(fā)該漏洞��,黑客通過(guò)批量對(duì)互聯(lián)網(wǎng)的WEB應(yīng)用服務(wù)器發(fā)起攻擊���,并下載惡意腳本執(zhí)行下載進(jìn)行比特幣挖礦程序,主要感染Linux服務(wù)器����。
經(jīng)檢測(cè)和搜索,這應(yīng)該是一個(gè)有組織有紀(jì)律的挖礦集團(tuán),以下是IP地址來(lái)源�����,萬(wàn)惡的蘇修主義啊��,真是亡我天朝之心不死��。
解決方案
Struts2升級(jí)版本至2.5.10���,高危漏洞又來(lái)了,這是三月份的一篇升級(jí)����,當(dāng)時(shí)投機(jī)的還是趕緊升了吧,如果實(shí)在不想升級(jí)�,無(wú)所謂反正是挖礦,不會(huì)破壞你什么��。
但是�����,如果不挖礦呢�,那就傻逼了?到時(shí)候就不是發(fā)燒那么簡(jiǎn)單了,很多公司上線部署都不是很規(guī)范�����,可能所有的程序都用root啟動(dòng)也說(shuō)不定呢��?
文字來(lái)源:http://www.cnblogs.com/smallSevens/p/7554380.html
