linux下“weblogic挖矿漏洞”发现与解决

这两天忽然发现项目的weblogic被“挖矿”漏洞攻击了，总结一下：

（当然下载补丁是要账号的，而且weblogic也是比较贵的，各路大神发挥你们自己的特长吧！）

**********************************************************************

*1.*//查看所有进程号（PID）/进程名，查看是否有异常进程与异常外网IP访问
**********************************************************************
[root@cartoon21 ~]# netstat -anp
**********************************************************************
*2.*//发现异常外网IP访问的进程
**********************************************************************
[root@cartoon21 ~]# netstat -anp|grep watch-smartd
tcp        0      1 192.168.100.21:47387        91.121.87.10:80             SYN_SENT    10663/watch-smartd  
[root@cartoon21 ~]# netstat -anp|grep carbon
tcp        0      1 192.168.100.21:38411        78.46.91.134:80             SYN_SENT    19344/carbon 
**********************************************************************
*3.*//关闭weblogic所有进程，“kill -9”这两个进程， 然后删除这两个进程文件。
      然后打2017年10月份的oracle的补丁。
**********************************************************************
[root@backup29 ~]# kill -9 watch-smartd
[root@backup29 ~]# kill -9 carbon
**********************************************************************
*4.*//查看这两个病毒进程是否存在。（下面两个表示是grep的进程，小白们别搞混了）
**********************************************************************
[root@cartoon21 ~]# ps -ef |grep watch-smartd
root     23588 23568  0 16:21 pts/3    00:00:00 grep watch-smartd
[root@cartoon21 ~]# ps -ef |grep carbon
root     23592 23568  0 16:22 pts/3    00:00:00 grep carbon
**********************************************************************