友情检测--tomcat管理程序认证上传及代码执行漏洞
2014-09-28 11:09
232 查看
前两天有朋友告诉我他们公司的网站服务器目录下突然多了两个war文件,对两个war文件解压后竟然是两个jsp webshell,于是让我帮忙看一看服务器是否还被植入了其他后门,我就怀着试一下的心态看了看,结果发现服务器上真的中招了,还被留下了一个后门,下面来说说我的分析步骤。
1、首先是对jsp webshell的分析。
在tomcat目录下放置有两个jsp webshell 77和88
图一:木马文件及木马路径
图二:77目录下面存放的是小马,提供上传功能
图三:88目录的大马,提供文件管理、命令行、数据库访问等操作,拥有root权限
简单分析:这两个木马都是jsp木马,通过tomcat来执行,如果tomcat停止后,这两个木马就不能被访问。而tomcat竟然是用root启动的,木马就拥有了root权限,危害性大。(tomcat还是用一般用户启动的好,root启动这风险也太大了)
2、对后门的查找分析和清除
后面对tomcat目录下文件进行查看,发现目录下面有一个xiaotian的可疑文件,无法直接删除,进而发现系统中有一个xiaotian的进程(还真的给系统安装了后门)。想把xiaotian进程杀掉,但每次杀掉后又会启动,判定这个后门还有守护进程保护,接下来的重点就是找到这个守护进程。
这里有两个进程,一个是xiaotian 另一个是可以进程.sshd,系统中是没有.sshd这个进程的,所以这个进程很可疑
接下来对进程xiaotian和.sshd调用文件进行分析
对.sshd调用文件的分析 lsof -p
对xiaotian调用文件的分析 lsof -p,发现xiaotian调用了/tmp/gates.lod,如下图
对进程.sshd进行跟踪分析 strace -f -p
发现其对/tmp/gates.lod中的进程进行守护,也就是xiaotian的进程(这个果然是守护进程)
找到守护进程了,那么杀掉并清除后门程序就简单了,这里略过
3、对遭受攻击原因的分析:
清除了后门,心里还是有疑问,为什么会遭受攻击呢?于是对攻击的原因进行了分析
分析思路:既然是jsp webshell,后门都放在了tomcat下面,所以重点分析了tomcat的漏洞,果然发现机器上的tomcat manager管理服务存在弱口令。
遭受攻击的原因
原因:tomcat管理程序认证上传及代码执行漏洞(Apache Tomcat ManagerApplication Upload Authenticated Code Execution)
Tomcat开启了manager管理服务,并且该服务拥有弱口令,攻击者使用该漏洞的利用工具可轻易的进行入侵。
使用metasploit轻而易举的就进行了入侵
至此,本次检测基本结束
1、首先是对jsp webshell的分析。
在tomcat目录下放置有两个jsp webshell 77和88
图一:木马文件及木马路径
图二:77目录下面存放的是小马,提供上传功能
图三:88目录的大马,提供文件管理、命令行、数据库访问等操作,拥有root权限
简单分析:这两个木马都是jsp木马,通过tomcat来执行,如果tomcat停止后,这两个木马就不能被访问。而tomcat竟然是用root启动的,木马就拥有了root权限,危害性大。(tomcat还是用一般用户启动的好,root启动这风险也太大了)
2、对后门的查找分析和清除
后面对tomcat目录下文件进行查看,发现目录下面有一个xiaotian的可疑文件,无法直接删除,进而发现系统中有一个xiaotian的进程(还真的给系统安装了后门)。想把xiaotian进程杀掉,但每次杀掉后又会启动,判定这个后门还有守护进程保护,接下来的重点就是找到这个守护进程。
这里有两个进程,一个是xiaotian 另一个是可以进程.sshd,系统中是没有.sshd这个进程的,所以这个进程很可疑
接下来对进程xiaotian和.sshd调用文件进行分析
对.sshd调用文件的分析 lsof -p
对xiaotian调用文件的分析 lsof -p,发现xiaotian调用了/tmp/gates.lod,如下图
对进程.sshd进行跟踪分析 strace -f -p
发现其对/tmp/gates.lod中的进程进行守护,也就是xiaotian的进程(这个果然是守护进程)
找到守护进程了,那么杀掉并清除后门程序就简单了,这里略过
3、对遭受攻击原因的分析:
清除了后门,心里还是有疑问,为什么会遭受攻击呢?于是对攻击的原因进行了分析
分析思路:既然是jsp webshell,后门都放在了tomcat下面,所以重点分析了tomcat的漏洞,果然发现机器上的tomcat manager管理服务存在弱口令。
遭受攻击的原因
原因:tomcat管理程序认证上传及代码执行漏洞(Apache Tomcat ManagerApplication Upload Authenticated Code Execution)
Tomcat开启了manager管理服务,并且该服务拥有弱口令,攻击者使用该漏洞的利用工具可轻易的进行入侵。
使用metasploit轻而易举的就进行了入侵
至此,本次检测基本结束
相关文章推荐
- Apache Struts2任意代码执行漏洞(S2-032)检测程序
- Struts2远程代码执行漏洞检测的原理和代码级实现
- FreeBSD telnetd守护程序远程代码执行漏洞
- 安全预警 | 知名 Web 应用服务器 Tomcat 信息泄漏和远程代码执行漏洞
- Tomcat/7.0.81 远程代码执行漏洞复现
- cve-2010-4452 codebase 和code标签属性未检测同源策略导致任意代码执行漏洞
- Android静态安全检测 -> WebView组件远程代码执行漏洞检测
- Tomcat代码执行漏洞(CVE-2017-12615)的演绎及个人bypass
- Memcached远程代码执行漏洞预警与检测修复
- 检测到 LoaderLock Message Microsoft.DirectX.dll”正试图在 OS 加载程序锁内执行托管代码。
- ElasticSearch Groovy脚本远程代码执行漏洞检测脚本和修复方案
- 检测到LoaderLock,正试图在OS加载程序锁内执行托管代码,不要尝试在DllMain或映像初始化函数内运行托管代码,这样会导致应用程序挂起。
- 技术文章 | CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞分析报告
- ASP.NET杜绝文件上传漏洞的代码(通过检测文件的头部编码)
- 检测到 LoaderLock Message Microsoft.DirectX.dll”正试图在 OS 加载程序锁内执行托管代码。
- [更新]Elasticsearch 代码执行漏洞利用检测工具
- 程序可信任路径代码执行漏洞
- php进程管理--手动创建进程锁,防止重复执行某程序代码
- Tomcat漏洞之——通过PUT远程代码执行
- Jenkins高危代码执行漏洞检测/开源漏洞靶场