當俄羅斯黑客攻擊了我的服務器!

2017-09-21 17:41

引言

世界上還是牛人多,在2011年的時候,一名大三的學生有了困擾,隨後上知乎發佈了一個提問大三學生手頭有6000元,有什麼好的理財投資建議?在2017年的今天,上到了知乎熱門提問,因爲在提問下面有一個獲得上萬點讚的回答“買比特幣,保存好錢包文件,然後忘掉你有過6000元這回事,五年後再看看。

 

起因

我是一個服務器,並且還是一個內網的Linux服務器,外面武裝了天清漢馬防火牆,內部有firewall,強大的密碼組合,甚至自己都記不清到底幾位數,然就是這樣我還是被無情的攻擊了。

 

那天清晨,感覺大腦有點發燒,趕緊發出一條top指令:

 

發現了一條詭異的進程atd,CPU佔用居然將近600%,執行命令ps -eaf|grep atd:

 

緊接着find / -name atd查找相關指令存放地點。

 

突然覺得還是先把這個atd進程殺掉爲好,kill -9 17257,立即馬上迅速強行殺死。

 

隨後退燒了,但可惡的是,不到幾分鐘,又燒了,一看又是atd這個進程在運行。

 

殺掉後重新運行,一定是在某個地方有定時,檢查了一下定時任務,crontab -l:

 

 

擦,以前的定時腳本不見了,多了兩條奇怪的任務,裏面有個網址很特別,複製到瀏覽器訪問,本以爲是個美女或者驚悚圖,結果是個大黑圖,F12圖片網絡請求發現Response中居然存在如下代碼:

 

一坨腳本,狗日的 居然有 rm -rf 這是要要了老子的命啊!!! 嚇大趕緊打開藍燈谷歌搜索這個命令,在virustotal找到以下說明:

 

同時發現了一條四天前的評論,這是一個腳本,通過struts漏洞傳播下載和啓動一個bitcode礦工。

 

在gov.lk中也發現了有一坨代碼,隱約發現與struts2有關:

 

 

由於一些老舊項目還在使用struts2,於是查詢了一下相關日誌,居然發現了傳說中的OGNL注入

 

黑客攻擊者通過使用一個表單來發送一些內容到struts請求,該內容被OGNL解析,結果創建了crontab,擦,真是耳聞不如一見啊,也有中招的那一天,就這樣我變成了一個苦逼的挖礦工。

 

 

 

挖礦組織

Struts2的安全漏洞從2010年開始陸續被披露存在遠程代碼執行漏洞,從2010年的S2-005、S2-009、S2-013 S2-016、S2-019、S2-020、S2-032、S2-037、devMode、及2017年3月初Struts2披露的S045漏洞,每一次的漏洞爆發隨後互聯網都會出現Struts2掃描攻擊活動。

 

此次攻擊針對Struts2的遠程命令執行漏洞,漏洞編號:S2-045,CVE編號:CVE-2017-5638,官方評級爲高危,該漏洞是由於在使用基於Jakarta插件的文件上傳功能條件下,惡意用戶可以通過修改HTTP請求頭中的Content-Type值來觸發該漏洞,黑客通過批量對互聯網的WEB應用服務器發起攻擊,並下載惡意腳本執行下載進行比特幣挖礦程序,主要感染Linux服務器。

 

經檢測和搜索,這應該是一個有組織有紀律的挖礦集團,以下是IP地址來源,萬惡的蘇修主義啊,真是亡我天朝之心不死。

 

 

解決方案

Struts2升級版本至2.5.10,高危漏洞又來了,這是三月份的一篇升級,當時投機的還是趕緊升了吧,如果實在不想升級,無所謂反正是挖礦,不會破壞你什麼。

但是,如果不挖礦呢,那就傻逼了?到時候就不是發燒那麼簡單了,很多公司上線部署都不是很規範,可能所有的程序都用root啓動也說不定呢?

文字来源:http://www.cnblogs.com/smallSevens/p/7554380.html