全球主机交流论坛

标题: 【求助】服务器被入侵当肉鸡，如何排查应用层漏洞 [打印本页]

作者: 勺七宝 时间: 2016-10-13 19:08
标题: 【求助】服务器被入侵当肉鸡，如何排查应用层漏洞
工作上遇到一个问题，有套Oracle的CRM商业软件跑在互联网上，前段时间被人入侵当肉鸡，乱发邮件、发包什么的阿里云告警了。
在Web目录下找到相关的Jar包，看过是后门脚本。怎么入手去排查这个漏洞在哪里？来求点思路。
本身对外只有SSH和HTTP，SSH的端口已修改随机，HTTP是80。后来观察到其他几套环境都有类似被入侵的情况，都差不多类似。
初步确定就是软件漏洞，Web服务是Weblogic提供。

作者: 浪子阿Q 时间: 2016-10-13 19:23
没日志吗

作者: riwsh 时间: 2016-10-13 19:32
看IP链接

作者: modianxia 时间: 2016-10-13 19:39
安全狗 D盾护卫神主机卫士云锁云加速来个全家桶套餐

作者: 619054 时间: 2016-10-13 19:46

Weblogic 之前報了個很大的洞，直接執行命令..

作者: 勺七宝 时间: 2016-10-14 09:32

modianxia 发表于 2016-10-13 19:39
安全狗 D盾护卫神主机卫士云锁云加速来个全家桶套餐

这还是没有治根本。

作者: 勺七宝 时间: 2016-10-14 09:42

619054 发表于 2016-10-13 19:46
Weblogic 之前報了個很大的洞，直接執行命令..

对的，就是被执行命令了，跑sendmail看到。

作者: 勺七宝 时间: 2016-10-14 09:44

浪子阿Q 发表于 2016-10-13 19:23
没日志吗

这种从80进来的，不知道从哪里着手日志查，和正常流量区分开。

作者: 安之若素 时间: 2016-10-14 12:27
java反序列化吧，

你看一下你的weblogic版本，1036以前的，并且没打补丁的直接就GG了。

作者: 浪子阿Q 时间: 2016-10-14 19:17

勺七宝发表于 2016-10-14 09:44
这种从80进来的，不知道从哪里着手日志查，和正常流量区分开。

从80进来一般都会留下脚印，一步一步的来，做个脚本，先把你百分百认为正常流量的特征提取再过滤出正常流量，然后在剩下的日志里再进一半提取你认为正常的流量，最后多半会剩下非正常的，

作者: dabiantai 时间: 2016-10-14 22:11
虽然这个应该是从http进来的，但是顺便提醒ssh随机端口并没有什么卵用，一样能扫出来

欢迎光临全球主机交流论坛 (https://fd.vvwvv.eu.org/)