共计 1455 个字符,预计需要花费 4 分钟才能阅读完成。
引言
世界上还是牛人多,在 2011 年的时候,一名大三的学生有了困扰,随后上知乎发布了一个提问大三学生手头有 6000 元,有什么好的理财投资建议? 在 2017 年的今天,上到了知乎热门提问,因为在提问下面有一个获得上万点赞的回答“买 比特币,保存好钱包文件,然后忘掉你有过 6000 元这回事,五年后再看看。
起因
我是一个服务器,并且还是一个内网的 Linux 服务器,外面武装了天清汉马防火墙,内部有 firewall,强大的密码组合,甚至自己都记不清到底几位数,然就是这样我还是被无情的攻击了。
那天清晨,感觉大脑有点发烧,赶紧发出一条 top 指令:
发现了一条诡异的进程 atd,CPU 占用居然将近 600%,执行命令 ps -eaf|grep atd:
紧接着 find / -name atd 查找相关指令存放地点。
突然觉得还是先把这个 atd 进程杀掉为好,kill -9 17257,立即马上迅速强行杀死。
随后退烧了,但可恶的是,不到几分钟,又烧了,一看又是 atd 这个进程在运行。
杀掉后重新运行,一定是在某个地方有定时,检查了一下定时任务,crontab -l:
擦,以前的定时脚本不见了,多了两条奇怪的任务,里面有个网址很特别,复制到浏览器访问,本以为是个美女或者惊悚图,结果是个大黑图,F12 图片网络请求发现 Response 中居然存在如下代码:
一坨脚本,狗日的 居然有 rm -rf 这是要要了老子的命啊!!!吓大赶紧打开蓝灯谷歌搜索这个命令,在 virustotal 找到以下说明:
同时发现了一条四天前的评论,这是一个脚本,通过 struts 漏洞传播下载和启动一个 bitcode 矿工。
在 gov.lk 中也发现了有一坨代码,隐约发现与 struts2 有关:
由于一些老旧项目还在使用 struts2,于是查询了一下相关日志,居然发现了传说中的 OGNL 注入
黑客攻击者通过使用一个表单来发送一些内容到 struts 请求,该内容被 OGNL 解析,结果创建了 crontab,擦,真是耳闻不如一见啊,也有中招的那一天,就这样我变成了一个苦逼的挖矿工。
挖矿组织
Struts2 的安全漏洞从 2010 年开始陆续被披露存在远程代码执行漏洞,从 2010 年的 S2-005、S2-009、S2-013 S2-016、S2-019、S2-020、S2-032、S2-037、devMode、及 2017 年 3 月初 Struts2 披露的 S045 漏洞,每一次的漏洞爆发随后互联网都会出现 Struts2 扫描攻击活动。
此次攻击针对 Struts2 的远程命令执行漏洞,漏洞编号:S2-045,CVE 编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于 Jakarta 插件的文件上传功能条件下,恶意用户可以通过修改 HTTP 请求头中的 Content-Type 值来触发该漏洞,黑客通过批量对互联网的 WEB 应用服务器发起攻击,并下载恶意脚本执行下载进行比特币挖矿程序,主要感染 Linux 服务器。
经检测和搜索,这应该是一个有组织有纪律的挖矿集团,以下是 IP 地址来源,万恶的苏修主义啊,真是亡我天朝之心不死。
解决方案
Struts2 升级版本至 2.5.10,高危漏洞又来了,这是三月份的一篇升级,当时投机的还是赶紧升了吧,如果实在不想升级,无所谓反正是挖矿,不会破坏你什么。
但是,如果不挖矿呢,那就傻逼了?到时候就不是发烧那么简单了,很多公司上线部署都不是很规范,可能所有的程序都用 root 启动也说不定呢?
作者:小柒
来源:http://www.cnblogs.com/smallSevens/p/7554380.html
