标签归档:webshell

【应急响应】Linux应急记录20170117

11:10看到主机监控告警,告警内容为

cd "/usr/local/web/cdksw/general-tomcat-6.0.18/webapps/background/background/upload/";ver;echo [S];pwd;echo [E]

看起来就是上传目录被传了JSP了,受影响的是两台负载的机器,其中一台报警了。
查看报警定位到被黑的JAVA项目进程为5916。
搜索上传路径下的JSP文件,找到了三个,很明显的JSP马。

-rw-r--r-- 1 admin admin 84496 Mar 19 2015 1394517320862.jsp
-rw-r--r-- 1 admin admin 6285 Mar 19 2015 1394619430391.jsp
-rw-rw-r-- 1 admin admin 139012 Mar 19 2015 1419589329217.jsp

不过这里的时间是2015年的。可能是被修改了时间,也可能15年的时候就被搞了。
来看一下Nginx日志。

219.150.180.18 - - [11/Nov/2015:11:49:14 +0800] "HEAD /background/upload/1394619430391.jsp HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36" "-"

发现15年的时候有人访问过这个文件,不过返回状态码是404
然后看到今天的日志

61.178.80.107 - - [16/Jan/2017:11:07:44 +0800] "POST /background/upload/1394619430391.jsp HTTP/1.1" 200 420 
59.151.109.39 - - [16/Jan/2017:11:10:00 +0800] "POST /background/upload/1394619430391.jsp HTTP/1.1" 200 197

攻击者11:07访问的马,然后11:10告警。
下午看日志发现攻击者仍然在尝试上传。

处理方式:
1)另一台机器上同样是有这三个马,删除JSP马。
2)Nginx限制upload目录下JSP访问。
3)与开发确认后,得知该后台已经不使用了,下线处理。