struts2漏洞检测脚本 网络安全分析案例:如何发现内部服务器被Struts2漏洞攻击
第4章 如何发现内部服务器被Struts2漏洞攻击
新的系统漏洞出现,必然会有存在漏洞利用的情况。在没有进行系统升级和打补丁的情况下struts2漏洞检测脚本,如何判断网络中的主机被攻击了呢?
我们来看看,Struts2是Apache项目下的一个Web框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站等。2016年4月,攻击者利用Struts2漏洞远程执行任意命令导致网站被安全入侵控制。这是自2012年Struts2命令执行漏洞大规模爆发之后,该服务时隔四年再次爆发大规模的Struts2安全漏洞。乌云平台收到100多家网站的相关漏洞报告,其中银行占了很大比例。
问题描述
科来网络安全分析专家应某集团公司请求,做应急网络分析服务时,发现该集团有几台服务器访问公网产生突发流量,导致全网出现拥塞情况,不仅影响工作效率,而且由于网络中部署了公司的核心业务,因此造成了核心业务的严重损失。
在该集团公司内网的核心交换机上,部署科来网络回溯分析系统,对经过核心网络流量进行监控与网络流量分析。
分析过程
首先对内网出现问题的服务器流量进行分析。
问题服务器主要为*.83,*.84,*.85,上图为服务器*.85在不到一个小时内产生的流量,峰值流量为700Mbps,主要流量构成为HTTP,SSH,UDP,总流量达到70GB。
这些流量流向大量公网地址,并且流量都为无意义的重复填充信息。可以判断,这几台服务器被黑客控制作为DDOS攻击肉鸡。
在分析中我们发现卡盟,问题服务器除了产生网络攻击流量以外,还会产生少量的未知TCP流量struts2漏洞检测脚本,而这些流量主要是用来访问147.255.229.33,这是一个美国的IP地址。
进一步分析发现,所有与147.255.229.33的通讯,都是问题服务器主动发起的。第一个会话是问题服务器向147.255.229.33请求了一个kill.sh脚本。上图中可以看到该脚本的内容。其中记录显示,服务器曾被操纵下载xudp和xudp.19两个文件。
下面的两个会话分别是对xudp和xudp.19的下载,上图中可以看出xudp和xudp.19均为linux可执行文件ELF。
最后,还被操纵下载一个p.pl的perl脚本。
经过分析发现,每次攻击前,问题服务器都主动从147.255.229.33下载这几个文件为攻击做准备。现在问题是服务器怎么会主动出现这些下载行为?
经过分析发现一个美国的地址142.91.113.21 POST了一段很奇怪代码到IP*.52(*.52为几台问题服务器经过负载均衡后的地址)的TCP 80端口。如上图这些代码中包含了执行下载kill.sh和p.pl脚本的语句。
经查如上图,这些POST信息是黑客利用struts2的S2-016漏洞远程植入的恶意代码。
验证测试:
上图中111*5被执行并算出来等于555,说明攻击者可以通过操纵参数远程执行恶意代码。
分析结论
我们发现本次网络安全事件,是黑客通过struts2的S2-016漏洞,远程向服务器执行恶意代码,导致服务器主动下载脚本和可执行文件实施DDOS攻击。建议工作人员尽快修复漏洞。
价值
网络回溯分析技术可以完整记录网络原始流量,提升对异常网络行为的感知能力。本案例中,通过分析相应时间段的网络流量,即可判定入侵者对网络及服务器的攻击行为,帮助用户发现网络中存在的安全隐患,掌握黑客攻击的手段,进而采取相应的防范手段。网络分析再次解决了传统安全产品无法解决的问题。
来源:【九爱网址导航www.fuzhukm.com】 免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!