0x01 排查过程
11:10看到主机监控告警,告警内容为
cd "/usr/local/web/cdksw/general-tomcat-6.0.18/webapps/background/background/upload/";ver;echo [S];pwd;echo [E]
看内容就是菜刀马执行,看目录发现是upload可以猜测是文件上传的问题。受影响的是两台负载的机器,其中一台报警了。
查看报警定位到被黑的JAVA项目进程为5916。
搜索上传路径下的JSP文件,找到了三个,很明显的JSP马。
-rw-r--r-- 1 admin admin 84496 Mar 19 2015 1394517320862.jsp
-rw-r--r-- 1 admin admin 6285 Mar 19 2015 1394619430391.jsp
-rw-rw-r-- 1 admin admin 139012 Mar 19 2015 1419589329217.jsp
不过这里的时间是2015年的。可能是被修改了时间,也可能15年的时候就被搞了。
这个项目基本没人访问,运维也没有切割Nginx Access_log文件,所以我查了下文件的访问记录。
219.150.180.18 - - [11/Nov/2015:11:49:14 +0800] "HEAD /background/upload/1394619430391.jsp HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36" "-"
发现15年的时候有人访问过这个文件,不过返回状态码是404。
然后看到今天的日志
61.178.80.107 - - [16/Jan/2017:11:07:44 +0800] "POST /background/upload/1394619430391.jsp HTTP/1.1" 200 420
59.151.109.39 - - [16/Jan/2017:11:10:00 +0800] "POST /background/upload/1394619430391.jsp HTTP/1.1" 200 197
攻击者11:07访问的马,然后11:10告警。
下午看日志发现攻击者仍然在尝试上传。
0x02 处理措施
1)另一台机器上同样是有这三个马,删除JSP马。
2)Nginx限制upload目录下JSP访问。
3)与开发确认后,得知该后台已经不使用了,下线处理。