引言

世界上(shàng)還(hái)是(shì)牛人(rén)多(duō)，在2↔&011年(nián)的(de)時(shí)候，一(yī)名大(dà)∑±α→三的(de)學生(shēng)有(yǒu)了(le)困擾£">£，随後上(shàng)知(zhī)乎發布了(le)一(yī)個(←✔±₽gè)提問(wèn)大(dà)三學生(s★​®φhēng)手頭有(yǒu)6000元，有(yǒu)什(shΩ‍én)麽好(hǎo)的(de)理(lǐ)财投資建議(yì)?在2017年(​δπ∏nián)的(de)今天，上(shàng)到(dào)了(l☆β★e)知(zhī)乎熱(rè)門(mén)提問(wèn)，因為(wè™"÷i)在提問(wèn)下(xià)面有(yǒu)一(yī)個(gè)獲得(deσ∑)上(shàng)萬點贊的(de)回答(dá)&ldq♥≈uo;買比特币，保存好(hǎo)錢(qián)包文®≠βγ(wén)件(jiàn)，然後忘掉你(nǐ)有(yǒu)過6000元這(zhèε§&)回事(shì)，五年(nián)後再看(kàn)看(kà‌∞<×n)。

起因

我是(shì)一(yī)個(gè)服務器(qì)，并且還(h©ε ái)是(shì)一(yī)個(gè)內(nèi)網的(de)L§÷‍★inux服務器(qì)，外(wài)面武裝了(le)天清漢馬防火(hε≠φ≠uǒ)牆，內(nèi)部有(yǒu)fi•ε≈rewall，強大(dà)的(de)密碼組合，甚至自(zì)己都(dōu)™∏↔記不(bù)清到(dào)底幾位數(shù)，然就(jiù)是(π®§ shì)這(zhè)樣我還(hái)是(shì)被☆✘€​無情的(de)攻擊了(le)。

那(nà)天清晨，感覺大(dà)腦(nǎo)有(yǒu)點發燒，趕緊發出≠ ‌∞一(yī)條top指令：

發現(xiàn)了(le)一(yī)條詭異的(de)進程atd，CP₽∑εU占用(yòng)居然将近(jìn)600%，執行(xíng)命令ps -ea÷→f|grep atd：

緊接著(zhe)find / -name atd查找相(xiàng)關指令存放£↔(fàng)地(dì)點。

突然覺得(de)還(hái)是(shì)先把這(zhè)個λ∑♣(gè)atd進程殺掉為(wèi)好(hǎo∏£♠∑)，kill -9 17257，立即馬上(shàng)迅σ<速強行(xíng)殺死。

随後退燒了(le)，但(dàn)可(kě)α∑惡的(de)是(shì)，不(bù)到(dào)幾分(fē♣×n)鐘(zhōng)，又(yòu)燒了(le)，一↑®≥×(yī)看(kàn)又(yòu)是(shì)atd×σ這(zhè)個(gè)進程在運行(xíng)。

殺掉後重新運行(xíng)，一(yī)定是(shì₹↓♦₩)在某個(gè)地(dì)方有(yǒu)"₹φ定時(shí)，檢查了(le)一(yī)下(xià)定時(shí÷‌)任務，crontab -l：

擦，以前的(de)定時(shí)腳本不(σ®↕bù)見(jiàn)了(le)，多(duō)了(le)兩條÷σ奇怪的(de)任務，裡(lǐ)面有(yǒu)個(gè)網址'λ很(hěn)特别，複制(zhì)到(dào)浏覽器(qì)訪問(wèn)，本以₽∑為(wèi)是(shì)個(gè)美(měi)女(n>∏"‌ǚ)或者驚悚圖，結果是(shì)個(gè)大(dà)黑(hē✘φ>i)圖，F12圖片網絡請(qǐng)求發現(xiàn)Response¶Ω中居然存在如(rú)下(xià)代碼：

一(yī)坨腳本，狗日(rì)的(de) 居然有(yǒu) rm -rf₩§" 這(zhè)是(shì)要(yào)要(yào)了(le)老(lǎo)子(≤∑≤zǐ)的(de)命啊！！！ 吓大(dà)趕緊∏φ≠✘打開(kāi)藍(lán)燈谷歌(gē)搜索這(zhè)個(gè)命令，在v≥₽→♣irustotal找到(dào)以下(xβπià)說(shuō)明(míng):

同時(shí)發現(xiàn)了(le)一(yī)條四天前的(de€× ≤)評論，這(zhè)是(shì)一(yī)個(<₽​gè)腳本，通(tōng)過struts漏洞傳播下(xià)載和(hé)啓動一"≠λ(yī)個(gè)bitcode礦工(gōng)。

在gov.lk中也(yě)發現(xiàn)了(le∞✘)有(yǒu)一(yī)坨代碼，隐約發現(xi$±àn)與struts2有(yǒu)關：

由于一(yī)些(xiē)老(lǎo)舊( ‌×jiù)項目還(hái)在使用(yòng)struts2，于是(shì) ↕δ'查詢了(le)一(yī)下(xià)相(xiàng)關日(rì)✔≠α∏志(zhì)，居然發現(xiàn)了(le)傳說(shuō)中的(de)OG÷​♠NL注入

黑(hēi)客攻擊者通(tōng)過使用(yòng)一(yī)個π∏™(gè)表單來(lái)發送一(yī)些(x✔€"♠iē)內(nèi)容到(dào)struts請(qǐng)求，該內(nèi)容↔>被OGNL解析，結果創建了(le)crontab←↕↔ ，擦，真是(shì)耳聞不(bù)如(rú)一(yī)&↔≠見(jiàn)啊，也(yě)有(yǒu)中招的(de)那(nà)一('₹ yī)天，就(jiù)這(zhè)樣我變成了(γ↔le)一(yī)個(gè)苦逼的(de)挖礦工(gōng)。

挖礦組織

Struts2的(de)安全漏洞從(cóng)2010年(nián)開(kā$Ωi)始陸續被披露存在遠(yuǎn)程代碼執行(xíng)漏洞，從(cóng)↕☆✔2010年(nián)的(de)S2-005、S2-↔ ↑‌009、S2-013 S2-016、S2-019λ★↑₽、S2-020、S2-032、S2-037、dev♣σλΩMode、及2017年(nián)3月(yuè)初™•±∞Struts2披露的(de)S045漏洞，每>"ε'一(yī)次的(de)漏洞爆發随後互聯網都(dπ↑γ∑ōu)會(huì)出現(xiàn)Struts2掃描攻擊活動。≈×±&

此次攻擊針對(duì)Struts2的(de)遠(y™↓₹uǎn)程命令執行(xíng)漏洞，漏洞編号:S2-¶↓045，CVE編号:CVE-2017-5638，官方評級γ•£™為(wèi)高(gāo)危，該漏洞是(shì •™β)由于在使用(yòng)基于Jakarta插件(jiàn)的(de)←↓'₩文(wén)件(jiàn)上(shàng)傳功能(£φ∑®néng)條件(jiàn)下(xià)，惡意用(yòng)戶可(kě)以通(™<tōng)過修改HTTP請(qǐng)求頭βδ★中的(de)Content-Type值來(lái)觸發該漏洞✘★∞，黑(hēi)客通(tōng)過批量對(duì)λ∏ 互聯網的(de)WEB應用(yòng)服務器(q∞∑∑≤ì)發起攻擊，并下(xià)載惡意腳本執♣ε行(xíng)下(xià)載進行(xíng)比特币∑£挖礦程序，主要(yào)感染Linux服務器(qì)。

經檢測和(hé)搜索，這(zhè)應該是(shì©Ω←÷)一(yī)個(gè)有(yǒu)組織有(yǒu)紀律 ×βγ的(de)挖礦集團，以下(xià)是(shì)IP地(dì)π©址來(lái)源，萬惡的(de)蘇修主義啊，真是(shì)亡我天朝之心€ ₹不(bù)死。

解決方案

Struts2升級版本至2.5.10，高(gāo)危♦↑ σ漏洞又(yòu)來(lái)了(le)，這(zhè)是(sh‌♣ì)三月(yuè)份的(de)一(yī)篇升級，當時(shβ←ε≈í)投機(jī)的(de)還(hái)是(shì)趕緊升了(le)吧™λ​(ba)，如(rú)果實在不(bù)想升級，無所謂反正是(shì)挖礦，♣ ≤♠不(bù)會(huì)破壞你(nǐ)什(✘α±shén)麽。

但(dàn)是(shì)，如(rú)果不(bù)挖礦呢(ne)，那(nàα₩)就(jiù)傻逼了(le)？到(dào)時(→ shí)候就(jiù)不(bù)是(shì)發燒那(nà) £麽簡單了(le)，很(hěn)多(duō)公司上(sh>∞àng)線部署都(dōu)不(bù)是(shì)很(hěn)規範，可 ±β(kě)能(néng)所有(yǒu)的(de)程序都(dōu)用(yò&<±ng)root啓動也(yě)說(shuō)不(bù)定呢(ne)？≈✘₽ 

文(wén)字來(lái)源：http:★€//www.cnblogs.com/sma∑€llSevens/p/7554380.html