引言
世界上(shàng)還(hái)是(shì)牛人(rén)多(d♣≠uō),在2011年(nián)的(de)時(shí♥φγ₩)候,一(yī)名大(dà)三的(de)✔✔¶∞學生(shēng)有(yǒu)了(le)困擾,随後上(shàng)知(zhī↑∞∏$)乎發布了(le)一(yī)個(gè)提問(wèn)大(dà₽₽δ)三學生(shēng)手頭有(yǒu)6000元,有(yǒu)什(shé<≈♣n)麽好(hǎo)的(de)理(lǐ)财投資建議(™®yì)?在2017年(nián)的(de)今天,上(shàng)到(dào→∞)了(le)知(zhī)乎熱(rè)門(mén)提問(wèn),因為(w÷¥∞èi)在提問(wèn)下(xià)面有(yǒu)一(yī)個(gè)獲得(®®de)上(shàng)萬點贊的(de)回答÷™(dá)“買比特币,保存好(hǎo)錢(¶"☆™qián)包文(wén)件(jiàn),然後忘掉你(nǐ)有(yǒuλ§)過6000元這(zhè)回事(shì),五年(nián)後再看(kàn)看(☆←kàn)。
起因
我是(shì)一(yī)個(gè)服務器☆<≤(qì),并且還(hái)是(shì)一('✔✔yī)個(gè)內(nèi)網的(de)Linux服務器(qì),外(wàiφ δ<)面武裝了(le)天清漢馬防火(huǒ)牆,內(nèi)部有(yǒu)f£♣>♣irewall,強大(dà)的(de)密≥<¥≠碼組合,甚至自(zì)己都(dōu)記不•↔(bù)清到(dào)底幾位數(shù),然就(jλ∞iù)是(shì)這(zhè)樣我還(há←σ♥"i)是(shì)被無情的(de)攻擊了(le)。
那(nà)天清晨,感覺大(dà)腦(nǎo)有(yǒ♠ ©u)點發燒,趕緊發出一(yī)條top指令:
發現(xiàn)了(le)一(yī)條詭異的(de)進程a"×&≈td,CPU占用(yòng)居然将近(jìn)600%,執行✔> ∏(xíng)命令ps -eaf|grep atd:
緊接著(zhe)find / -name atd查找相(xià♣÷ng)關指令存放(fàng)地(dì)點。
突然覺得(de)還(hái)是(shì)先把這(zhè)個(gè)a"★td進程殺掉為(wèi)好(hǎo),kill -9 17257,立即 '馬上(shàng)迅速強行(xíng)殺死。
随後退燒了(le),但(dàn)可(kě)惡的(de)是(shì),不↓₩ (bù)到(dào)幾分(fēn)鐘(zhōng),又(yò¥∞←u)燒了(le),一(yī)看(kàn)又(yòu)是(shì)atd這(z♠σ↔♦hè)個(gè)進程在運行(xíng)。
殺掉後重新運行(xíng),一(yī)定是(shì)在某個(gè)地(π£dì)方有(yǒu)定時(shí),檢查了(le)一(yī$α)下(xià)定時(shí)任務,crontaΩ₽b -l:
擦,以前的(de)定時(shí)腳本不(bù)見(jiàn)了(l£σ<•e),多(duō)了(le)兩條奇怪的(de)任務,裡(lǐ)面™✔φ 有(yǒu)個(gè)網址很(hěn)特别,®¶複制(zhì)到(dào)浏覽器(qì)訪問(wèn),本以為(wèi)是(s→♣♣ hì)個(gè)美(měi)女(nǚ)或者驚悚★πσ圖,結果是(shì)個(gè)大(dà)黑(hēi)圖,F12圖片$✔←€網絡請(qǐng)求發現(xiàn)Response中居然存在如(δ→rú)下(xià)代碼:
一(yī)坨腳本,狗日(rì)的(de) 居然有(yǒu) rm✔ ∏• -rf 這(zhè)是(shì)要(yào"∞↕)要(yào)了(le)老(lǎo)子(zǐ)的(d↕↓$≈e)命啊!!! 吓大(dà)趕緊打開(kāi)藍(lán)燈谷歌(g☆ ¥★ē)搜索這(zhè)個(gè)命令,在virus& ✔×total找到(dào)以下(xià)說(shuō)明(míng):
同時(shí)發現(xiàn)了(le)一(yī)條四天前的€♦(de)評論,這(zhè)是(shì)一(← λ yī)個(gè)腳本,通(tōng)過struts漏洞傳播下(xià)♦♦載和(hé)啓動一(yī)個(gè)bitc↔£↑&ode礦工(gōng)。
在gov.lk中也(yě)發現(xiàn)了δ→(le)有(yǒu)一(yī)坨代碼,隐約發現(xiàn♠ §)與struts2有(yǒu)關:
由于一(yī)些(xiē)老(lǎo)舊(jiù)項目還(hái)在使用↕£ (yòng)struts2,于是(shì)查詢了(le)一(π™yī)下(xià)相(xiàng)關日(ε σrì)志(zhì),居然發現(xiàn)了(le)傳說(shuō)中的(d ©e)OGNL注入
黑(hēi)客攻擊者通(tōng)過使用(yòng)一(yī)個(gè)表單 β≥÷來(lái)發送一(yī)些(xiē)內(nèi)容到(dào ∞)struts請(qǐng)求,該內(nè♣φ i)容被OGNL解析,結果創建了(le)crontab,擦,真是(s§hì)耳聞不(bù)如(rú)一(yī)見(σ₹§↕jiàn)啊,也(yě)有(yǒu)中招的(de)那(nà)一(yī)天,就(∏α←jiù)這(zhè)樣我變成了(le)一λφ(yī)個(gè)苦逼的(de)挖礦工(gōng ♥φγ)。
挖礦組織
Struts2的(de)安全漏洞從(cóng)2010年(nián)開(kā₩↑™®i)始陸續被披露存在遠(yuǎn)程代碼執行(xíng)漏洞,從(cóng ≠©←)2010年(nián)的(de)S2-0≥©05、S2-009、S2-013 S2-016、S2-019、S2-020、S↑≤2-032、S2-037、devMode™←£≥、及2017年(nián)3月(yuè)初Str₩®γuts2披露的(de)S045漏洞,每一(yī)次 γ ♥的(de)漏洞爆發随後互聯網都(dōu)會(huì)出現(xiàn)Strut≈§©s2掃描攻擊活動。
此次攻擊針對(duì)Struts2的(de§♠)遠(yuǎn)程命令執行(xíng)漏洞,漏洞編<π☆号:S2-045,CVE編号:CVE-20©↕π17-5638,官方評級為(wèi)高(gāo)危,該漏洞是(±∞©δshì)由于在使用(yòng)基于Jakarta插件(jiàn)的(deΩ¥®)文(wén)件(jiàn)上(shàng)傳功能(néng)條件(jiàn)§₹♠下(xià),惡意用(yòng)戶可(kě)以通(tōng)過修改HT§₩$TP請(qǐng)求頭中的(de)Conten©☆¥βt-Type值來(lái)觸發該漏洞,黑(hēi)客≈•α通(tōng)過批量對(duì)互聯網的(de)WEB應用(yòng)服務器(α≥≠qì)發起攻擊,并下(xià)載惡意腳本執行(xíng)下(x₽ià)載進行(xíng)比特币挖礦程序,主要(yào)感染Linu≥<'λx服務器(qì)。
經檢測和(hé)搜索,這(zhè)應該是(shì)一(yī)個(gè)有¥®•∞(yǒu)組織有(yǒu)紀律的(de)挖礦集團,&σ≈'以下(xià)是(shì)IP地(dì)址來(lái)源,萬φ☆惡的(de)蘇修主義啊,真是(shì)亡我天朝之心不(bù)死。
解決方案
Struts2升級版本至2.5.10,高(gāo)危漏洞又(yòu)來§γ(lái)了(le),這(zhè)是(shì ")三月(yuè)份的(de)一(yī)篇升級,當時(shí)投機(jī)<£φ的(de)還(hái)是(shì)趕緊升了(le)吧(ba),←π©×如(rú)果實在不(bù)想升級,無所謂反正是(shì)挖礦,不(bεσ¥ù)會(huì)破壞你(nǐ)什(shén)麽。
但(dàn)是(shì),如(rú)果不→γ(bù)挖礦呢(ne),那(nà)就(jiù)傻逼了>∑(le)?到(dào)時(shí)候就( £'✘jiù)不(bù)是(shì)發燒那(n♠♦♠à)麽簡單了(le),很(hěn)多(duπō)公司上(shàng)線部署都(dōu)♠₹ ↔不(bù)是(shì)很(hěn)規範,可(kě)能€₹¥(néng)所有(yǒu)的(de)程序都(dōu)用(yòng∏€)root啓動也(yě)說(shuō)不(bù)定呢(ne)♥λ?
文(wén)字來(lái)源:http://www.cnblogs.co γ m/smallSevens/p/7554380.html≤λ
