亚洲熟女综合色一区二区三区,亚洲精品中文字幕无码蜜桃,亚洲va欧美va日韩va成人网,亚洲av无码国产一区二区三区,亚洲精品无码久久久久久久

俄羅斯黑客攻擊了我的服務(wù)器:我變成了一名比特幣挖礦工

引言

 

俄羅斯黑客攻擊了我的服務(wù)器:我變成了一名比特幣挖礦工

世界上還是牛人多,在2011年的時(shí)候,一名大三的學(xué)生有了困擾,隨后上知乎發(fā)布了一個(gè)提問大三學(xué)生手頭有6000元,有什么好的理財(cái)投資建議?在2017年的今天,上到了知乎熱門提問,因?yàn)樵谔釂栂旅嬗幸粋€(gè)獲得上萬點(diǎn)贊的回答“比特幣,保存好錢包文件,然后忘掉你有過6000元這回事,五年后再看看。

起因

 

我是一個(gè)服務(wù)器,并且還是一個(gè)內(nèi)網(wǎng)的Linux服務(wù)器,外面武裝了天清漢馬防火墻,內(nèi)部有firewall,強(qiáng)大的密碼組合,甚至自己都記不清到底幾位數(shù),然就是這樣我還是被無情的攻擊了。

那天清晨,感覺大腦有點(diǎn)發(fā)燒,趕緊發(fā)出一條top指令:

俄羅斯黑客攻擊了我的服務(wù)器:我變成了一名比特幣挖礦工

發(fā)現(xiàn)了一條詭異的進(jìn)程atd,CPU占用居然將近600%,執(zhí)行命令ps -eaf|grep atd:

俄羅斯黑客攻擊了我的服務(wù)器:我變成了一名比特幣挖礦工

緊接著find / -name atd查找相關(guān)指令存放地點(diǎn)。

俄羅斯黑客攻擊了我的服務(wù)器:我變成了一名比特幣挖礦工

突然覺得還是先把這個(gè)atd進(jìn)程殺掉為好,kill -9 17257,立即馬上迅速強(qiáng)行殺死。

隨后退燒了,但可惡的是,不到幾分鐘,又燒了,一看又是atd這個(gè)進(jìn)程在運(yùn)行。

殺掉后重新運(yùn)行,一定是在某個(gè)地方有定時(shí),檢查了一下定時(shí)任務(wù),crontab -l:

俄羅斯黑客攻擊了我的服務(wù)器:我變成了一名比特幣挖礦工

擦,以前的定時(shí)腳本不見了,多了兩條奇怪的任務(wù),里面有個(gè)網(wǎng)址很特別,復(fù)制到瀏覽器訪問,本以為是個(gè)美女或者驚悚圖,結(jié)果是個(gè)大黑圖,F(xiàn)12圖片網(wǎng)絡(luò)請求發(fā)現(xiàn)Response中居然存在如下代碼:

俄羅斯黑客攻擊了我的服務(wù)器:我變成了一名比特幣挖礦工

一坨腳本,狗日的 居然有 rm -rf 這是要要了老子的命?。。。?嚇大趕緊打開藍(lán)燈谷歌搜索這個(gè)命令,在virustotal找到以下說明:

俄羅斯黑客攻擊了我的服務(wù)器:我變成了一名比特幣挖礦工

同時(shí)發(fā)現(xiàn)了一條四天前的評論,這是一個(gè)腳本,通過struts漏洞傳播下載和啟動一個(gè)bitcode礦工。

在gov.lk中也發(fā)現(xiàn)了有一坨代碼,隱約發(fā)現(xiàn)與struts2有關(guān):

俄羅斯黑客攻擊了我的服務(wù)器:我變成了一名比特幣挖礦工

由于一些老舊項(xiàng)目還在使用struts2,于是查詢了一下相關(guān)日志,居然發(fā)現(xiàn)了傳說中的OGNL注入

俄羅斯黑客攻擊了我的服務(wù)器:我變成了一名比特幣挖礦工

黑客攻擊者通過使用一個(gè)表單來發(fā)送一些內(nèi)容到struts請求,該內(nèi)容被OGNL解析,結(jié)果創(chuàng)建了crontab,擦,真是耳聞不如一見啊,也有中招的那一天,就這樣我變成了一個(gè)苦逼的挖礦工。

俄羅斯黑客攻擊了我的服務(wù)器:我變成了一名比特幣挖礦工

挖礦組織

 

Struts2的安全漏洞從2010年開始陸續(xù)被披露存在遠(yuǎn)程代碼執(zhí)行漏洞,從2010年的S2-005、S2-009、S2-013 S2-016、S2-019、S2-020、S2-032、S2-037、devMode、及2017年3月初Struts2披露的S045漏洞,每一次的漏洞爆發(fā)隨后互聯(lián)網(wǎng)都會出現(xiàn)Struts2掃描攻擊活動。

此次攻擊針對Struts2的遠(yuǎn)程命令執(zhí)行漏洞,漏洞編號:S2-045,CVE編號:CVE-2017-5638,官方評級為高危,該漏洞是由于在使用基于Jakarta插件的文件上傳功能條件下,惡意用戶可以通過修改HTTP請求頭中的Content-Type值來觸發(fā)該漏洞,黑客通過批量對互聯(lián)網(wǎng)的WEB應(yīng)用服務(wù)器發(fā)起攻擊,并下載惡意腳本執(zhí)行下載進(jìn)行比特幣挖礦程序,主要感染Linux服務(wù)器。

俄羅斯黑客攻擊了我的服務(wù)器:我變成了一名比特幣挖礦工

經(jīng)檢測和搜索,這應(yīng)該是一個(gè)有組織有紀(jì)律的挖礦集團(tuán),以下是IP地址來源,萬惡的蘇修主義啊,真是亡我天朝之心不死。

俄羅斯黑客攻擊了我的服務(wù)器:我變成了一名比特幣挖礦工

解決方案

 

Struts2升級版本至2.5.10,高危漏洞又來了,這是三月份的一篇升級,當(dāng)時(shí)投機(jī)的還是趕緊升了吧,如果實(shí)在不想升級,無所謂反正是挖礦,不會破壞你什么。

但是,如果不挖礦呢,那就傻逼了?到時(shí)候就不是發(fā)燒那么簡單了,很多公司上線部署都不是很規(guī)范,可能所有的程序都用root啟動也說不定呢?

作者:小柒

來源:http://www.cnblogs.com/smallSevens/p/7554380.html

相關(guān)新聞

歷經(jīng)多年發(fā)展,已成為國內(nèi)好評如潮的Linux云計(jì)算運(yùn)維、SRE、Devops、網(wǎng)絡(luò)安全、云原生、Go、Python開發(fā)專業(yè)人才培訓(xùn)機(jī)構(gòu)!