【求助】服务器被入侵当肉鸡，如何排查应用层漏洞

勺七宝 · 发表于 2016-10-13 19:08:39

工作上遇到一个问题，有套Oracle的CRM商业软件跑在互联网上，前段时间被人入侵当肉鸡，乱发邮件、发包什么的阿里云告警了。
在Web目录下找到相关的Jar包，看过是后门脚本。怎么入手去排查这个漏洞在哪里？来求点思路。
本身对外只有SSH和HTTP，SSH的端口已修改随机，HTTP是80。后来观察到其他几套环境都有类似被入侵的情况，都差不多类似。
初步确定就是软件漏洞，Web服务是Weblogic提供。

浪子阿Q · 发表于 2016-10-13 19:23:42

没日志吗

riwsh · 发表于 2016-10-13 19:32:43

看IP链接

modianxia · 发表于 2016-10-13 19:39:50

安全狗 D盾护卫神主机卫士云锁云加速来个全家桶套餐

619054 · 发表于 2016-10-13 19:46:39

Weblogic 之前報了個很大的洞，直接執行命令..

勺七宝 · 发表于 2016-10-14 09:32:17

modianxia 发表于 2016-10-13 19:39
安全狗 D盾护卫神主机卫士云锁云加速来个全家桶套餐

这还是没有治根本。

勺七宝 · 发表于 2016-10-14 09:42:53

619054 发表于 2016-10-13 19:46
Weblogic 之前報了個很大的洞，直接執行命令..

对的，就是被执行命令了，跑sendmail看到。

勺七宝 · 发表于 2016-10-14 09:44:17

浪子阿Q 发表于 2016-10-13 19:23
没日志吗

这种从80进来的，不知道从哪里着手日志查，和正常流量区分开。

安之若素 · 发表于 2016-10-14 12:27:39

java反序列化吧，

你看一下你的weblogic版本，1036以前的，并且没打补丁的直接就GG了。

浪子阿Q · 发表于 2016-10-14 19:17:43

勺七宝发表于 2016-10-14 09:44
这种从80进来的，不知道从哪里着手日志查，和正常流量区分开。

从80进来一般都会留下脚印，一步一步的来，做个脚本，先把你百分百认为正常流量的特征提取再过滤出正常流量，然后在剩下的日志里再进一半提取你认为正常的流量，最后多半会剩下非正常的，

		自动登录	找回密码
密码			注册

[Windows VPS] 【求助】服务器被入侵当肉鸡，如何排查应用层漏洞

相关帖子