[学习记录]Linux服务器挖矿病毒应急响应2——Javaweb安全漏洞导致

已于 2024-04-13 00:51:56 修改
阅读量1.1k 收藏 6
点赞数 33
分类专栏: 学习记录 应急响应 文章标签: 服务器 学习 linux web安全
于 2024-04-13 00:51:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41750781/article/details/137697314
版权

1. 场景

运维人员发现,通过搜索引擎访问公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为服务器可能被黑客入侵

2. 挖掘攻击痕迹

top命令发现CPU高占用进程
查看计划任务,发现有指向update.sh的计划任务

crontab -l

1计划任务
进入/etc目录,记录update.sh的修改时间2021/03/01 3:12:55
1.1修改时间

3. 分析攻击路径

该服务器部署了struts2的网站程序,攻击者可能是从struts2漏洞入侵的,进入网站目录
2网站目录
step1 打开首页文件index.jsp
3恶意跳转代码
发现关于自动跳转到恶意网站的js代码,删除掉
如果没有明显的js代码,那么可能被写入了数据库,通过代码调用数据库,执行其中的恶意跳转代码,这种情况要对数据库进行排查
step2 利用struts2漏洞检查工具验证该网站的漏洞可利用
4漏洞利用
进入tomcat日志目录
5日志目录
下载与挖矿程序对应日期2021-03-01的localhost_access_log
同时用河马webshell或其他扫描工具对web目录进行扫描,找到webshell文件为config.jsp
6webshell文件
查看config.jsp,确认为菜刀的webshell
7菜刀
notepad++查看localhost_access_log,查找/config.jsp,发现192.168.184.1访问过
8查看日志
查看localhost_access_log.2021-02-25.txt,还能发现192.168.184.1利用struts2漏洞提交config.jsp的记录
9提交记录

4. 分析挖矿脚本

查看update.sh
10查看脚本
发现挖矿程序名sysupdate,查看路径

find / -name sysupdate

11查看路径
发下在/etc目录下,下载后上传到云沙箱分析,确认为挖矿病毒
11云沙箱分析
在update.sh中还发现ssh公钥
12 ssh密钥

5. 结束挖矿程序并清理后门

  1. 删除计划任务
  2. 删除文件sysupdate、update.sh
  3. 杀死进程
  4. 删除后门config.jsp
  5. 删除SSH公钥
渗透未止
关注
  • 33
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
大厂面试突击——JavaWeb
公号:一条coding
08-18 3万+
大厂面试第二弹,收藏走起!
Linux服务器部署JavaWeb项目完整教程
08-25
主要介绍了Linux服务器部署JavaWeb项目完整教程,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
Linux服务器部署JavaWeb项目
澄白易的博客
06-02 1956
查看所有的 Java 安装包: 安装jdk1.8: 验证是否安装成功: 1.2 安装 MySQL 1.2.1 下载并安装 MySQL 下载并安装 MySQL,执⾏以下命令: 执⾏以上步骤可能会报 GPG 公钥错误,如下图所示: 此时先执⾏以下命令导⼊ GPG 公钥: 之后再重新执⾏上⾯安装 MySQL 的命令,安装成功之后的效果如下: 启动命令: 1.2.3 查看 MySQL 默认密码 使⽤以下命令登录 MySQL: 之后再输⼊上⼀步的默认密码执⾏以下命令修改 MySQL 密码(修改为12345678)
JavaWeb笔记)阿里云搭建服务器部署JavaWeb项目——流程详解
张松的博客
08-04 476
目录 1.前言 2.步骤一 3.步骤二 4.步骤三 5.步骤四 6.步骤五 7.总结 1.前言 本教程是自学阿里云搭建服务器并部署JavaWeb项目,实现流程步骤都使用CSDN博客记录,下面奉上实现步骤的CSDN博客链接。 2.步骤一 (阿里云笔记)购置阿里云轻量应用服务器CentOS7.6镜像——Linux系统 CSDN链接:https://blog.csdn.net/qq_39038178/article/details/...
JavaWeb基础学习笔记1——JavaWeb整体介绍
weixin_44623055的博客
01-21 924
1、什么是JavaWebWeb:全球广域网,也称为万维网(www),能通过浏览器访问的网站。 JavaWeb:使用Java技术来解决相关Web互联网领域的技术栈。 网页:展现数据;数据库:存储和管理数据;JavaWeb程序:逻辑处理。 2、JavaWeb 数据库:MySQL,JDBC,Maven,Mybatis,... 前端:HTML+CSS,JavaScript,Ajax+Vue+ElementUI,... web核心:Tomcat+HTTP+Servlet,Request+Responc
javaWeb安全验证漏洞修复总结.doc
11-29
javaWeb安全验证漏洞修复总结.doc
javaweb项目部署linux服务器遇到的问题
08-24
内涵数据库文件,测试war包,数据库密码与账号为root,数据库若连接不成功则只显示图形界面
JavaWeb学习笔记分享(必看篇)
09-02
下面小编就为大家带来一篇JavaWeb学习笔记分享(必看篇)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
2023年JavaWeb学习笔记.docx
11-05
2023年JavaWeb学习笔记.docx
美国站群服务器的定义、功能以及在网站运营中的应用
zonghengcloud的博客
04-30 163
在当今互联网的蓬勃发展中,站群服务器已成为网站运营和SEO优化中不可或缺的重要工具之一。尤其是美国站群服务器,在全球范围内备受关注。本文将深入探讨美国站群服务器的定义、功能以及在网站运营中的应用。美国站群服务器的定义、功能以及在网站运营中的应用美国站群服务器的定义美国站群服务器是指位于美国境内的多台服务器组成的网络群组或集群。这些服务器可以部署在不同的地理位置或不同的数据中心,但它们共享同一个管理控制面板或管理系统。站群服务器的主要目的是通过集中管理和资源共享来提高网站的效率和性能。美国站群服务器的作用。
【勒索病毒恢复】.svh勒索病毒介绍及恢复方案
safe130的博客
04-23 866
halo,.360,.faust,.eking,.wis,.mkp,.malox,.rmallox,.mallox,ma1x0,.live,.carver,.locked,_locked,.locked1,.svh , lockbit, .datah等等,请注意,恢复被勒索病毒加密的数据并非总是成功,且过程中可能存在数据丢失或损坏的风险。为了防范svh勒索病毒的感染,用户应该保持警惕,不轻易打开未知来源的邮件附件或点击不明链接,同时定期更新和修补电脑上的软件漏洞,使用强密码,并启用防火墙等安全防护措施。
华纳云:服务器DDoS攻击有哪些类型?
YOKEhn的博客
04-30 151
DNS Amplification 攻击是利用 DNS(域名系统)服务器的开放递归解析功能,向大量的开放 DNS 服务器发送 DNS 查询请求,伪造源 IP 地址为目标服务器的 IP 地址,使得大量的响应数据被发送到目标服务器,从而使目标服务器消耗大量的带宽和资源。类似于 DNS Amplification 攻击,NTP Amplification 攻击利用网络时间协议(NTP)服务器的开放性,向 NTP 服务器发送大量的查询请求,并将响应数据发送到目标服务器,以消耗目标服务器的带宽和资源。
Grafana 添加一台管理服务器
jekc2008的专栏
04-30 92
1、修改prometheus.yml。3、导入node文件。
Rust腐蚀服务器定制地图开服
V13807970340的博客
04-24 368
这个时候你通过steam面板进入服务器按F1 输入connect +IP:20815即可进入你的服务器,在游戏中打开地图就能看到地图的全貌你当时获取的地图是什么样的那么到游戏里面就是什么样的这个就是定制地图的替换方式。那么我们修改完其实就是就是下图这个样子,他的这个意思就是你的服务器启动后,玩家在加载你的服务器数据时是加载我们在服务器上传上去的文件url这样玩家进去后就是不一样的地图,这个就是我们说的定制地图啦。这个是必须要有Oxide框架的,这个不知道怎么操作的大家到主页去看看架设教程。
快速了解Linux IPC
最新发布
wJen的博客
04-30 734
简单介绍了Linux IPC以便快速了解基本内容。
【大模型应用】Ollama本地大模型服务器及其C#客户端测试
cxyhjl的博客
04-27 221
前言在工业领域,本地开源大模型的潜在应用场景非常多样,一些不那么显而易见的可能包括:智能柔性装配:大模型可以应用于生产线的智能化改造,通过理解和生成工业执行指令,实现柔性化的装配和生产。工业企业智能中台:大模型可以作为企业智能中台的核心,整合分散的数据,提供辅助决策和运筹规划,从而提高整体运营效率。质量检测与安全监测:结合视觉传感技术,大模型可以对指定区域或人员进行实时监测,快速发现异常信息,降低...
香港BGP服务器和香港双线服务器的区别
JttiSEO的博客
04-30 151
香港BGP服务器采用BGP(边界网关协议)技术,通常连接到多个不同的网络服务提供商(ISP),并通过BGP协议动态选择最优的网络路径。虽然也提供了一定程度的冗余和备份,但相比于BGP服务器,双线服务器的网络连接方式更为简单,可能会有一定程度的单点故障风险。相比之下,双线服务器的成本可能会更为适中,但在一些对网络连接稳定性要求较高的应用场景下,可能需要额外考虑BGP服务器的投入。而香港双线服务器虽然具有一定程度的冗余和备份,但在某些情况下可能仍然会受到单个网络提供商的影响,造成网络性能下降或服务中断的风险。
一个docker配置mysql主从服务器
weixin_41953346的博客
04-23 996
mysql主从,一个docker搞定,极简派请入
JavaWeb学习笔记(七)—— JSP
05-22
但是,由于 JSP 页面需要翻译成 Servlet,因此会增加服务器的负担和响应时间。此外,JSP 页面中夹杂着 Java 代码,也不利于代码的维护和调试。因此,在开发大型网站时,建议使用 MVC 设计模式,将业务逻辑和视图分离...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值