友情检测--tomcat管理程序认证上传及代码执行漏洞

前两天有朋友告诉我他们公司的网站服务器目录下突然多了两个war文件，对两个war文件解压后竟然是两个jsp webshell，于是让我帮忙看一看服务器是否还被植入了其他后门，我就怀着试一下的心态看了看，结果发现服务器上真的中招了，还被留下了一个后门，下面来说说我的分析步骤。

1、首先是对jsp webshell的分析。

在tomcat目录下放置有两个jsp webshell  77和88



                                  图一：木马文件及木马路径



                                                                            图二：77目录下面存放的是小马，提供上传功能



                                               图三：88目录的大马，提供文件管理、命令行、数据库访问等操作，拥有root权限

简单分析：这两个木马都是jsp木马，通过tomcat来执行，如果tomcat停止后，这两个木马就不能被访问。而tomcat竟然是用root启动的，木马就拥有了root权限，危害性大。（tomcat还是用一般用户启动的好，root启动这风险也太大了）

2、对后门的查找分析和清除

后面对tomcat目录下文件进行查看，发现目录下面有一个xiaotian的可疑文件，无法直接删除，进而发现系统中有一个xiaotian的进程（还真的给系统安装了后门）。想把xiaotian进程杀掉，但每次杀掉后又会启动，判定这个后门还有守护进程保护，接下来的重点就是找到这个守护进程。








这里有两个进程，一个是xiaotian 另一个是可以进程.sshd，系统中是没有.sshd这个进程的，所以这个进程很可疑

接下来对进程xiaotian和.sshd调用文件进行分析

对.sshd调用文件的分析 lsof -p



对xiaotian调用文件的分析 lsof -p,发现xiaotian调用了/tmp/gates.lod，如下图



对进程.sshd进行跟踪分析 strace -f -p



发现其对/tmp/gates.lod中的进程进行守护，也就是xiaotian的进程（这个果然是守护进程）

找到守护进程了，那么杀掉并清除后门程序就简单了，这里略过

3、对遭受攻击原因的分析：

清除了后门，心里还是有疑问，为什么会遭受攻击呢？于是对攻击的原因进行了分析

分析思路：既然是jsp webshell，后门都放在了tomcat下面，所以重点分析了tomcat的漏洞，果然发现机器上的tomcat manager管理服务存在弱口令。

遭受攻击的原因

原因：tomcat管理程序认证上传及代码执行漏洞（Apache Tomcat ManagerApplication Upload Authenticated Code Execution）

Tomcat开启了manager管理服务，并且该服务拥有弱口令，攻击者使用该漏洞的利用工具可轻易的进行入侵。



使用metasploit轻而易举的就进行了入侵



至此，本次检测基本结束