半个月前,巡检时发现服务器出现不明进程,对其进行了处理,由于当时没有做详细记录,在这里把大致过程描述一下.

症状:

ps命令发现出现几个不明进程,

  1.于/tmp下运行的,名称随机的进程.占用CPU高达100%,确认为挖矿机

  2.于activemq下运行的不明进程,占用CPU很低,kill -9 杀死进程后会自动重启(当时以为是activemq的正常进程,后核对后发现该进程不属于activemq)

crontab -l,发现5分钟一次的计划任务,于某IP下载shell脚本

处理过程:

1.直接杀死/tmp下运行的程序

2.该服务器运行了redis和activemq,因为redis曾报过一次漏洞,所以第一怀疑是redis.

3.google后发现redis的可能性比较,于是查了一下activemq的漏洞

4.确认为activemq管理存在弱口令,而activemq的fileserver存在远程执行命令漏洞,导致出现该问题,官方:http://activemq.apache.org/security-advisories.data/CVE-2016-3088-announcement.txt

见http://www.2cto.com/article/201607/522259.html

处理方法:

依照官方处理意见,关闭fileserver功能,重启activemq

更详细的安全策略,请参见阿里云帮助文档https://help.aliyun.com/knowledge_detail/50436.html


time:2017年7月6日10:26:33

今天巡检服务器时,发现activemq被入侵,与上述情况完全相同,现提供完整现场.(怪我当时没把其他服务器的漏洞也堵上)

# ps axuf
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 3700 0.1 7.1 4716220 573796 ? Sl Apr27 192:18 /root/jdk1.8.0_121/bin/java -Xms1G -Xmx1G -Djava.util.logging.....省略后面
root 21062 299 0.5 492564 48000 ? Sl 00:15 1826:58 \_ ./avx2 -a lyra2z -o stratum+tcp://

可以看出,该挖矿程序是利用activemq运行的,并置于activemq目录下

# ll
总用量 1280
-rwxr-xr-x 1 mysql games 22287 10月 15 2013 activemq
-rwxr-xr-x 1 mysql games 5748 10月 15 2013 activemq-admin
-rw-r--r-- 1 mysql games 16110 10月 15 2013 activemq.jar
-rwxrwxrwx 1 root root 1152776 7月 4 12:50 avx2
-rwxr-xr-x 1 mysql games 6189 10月 15 2013 diag
drwxr-xr-x 2 root root 4096 4月 27 17:16 linux-x86-32
drwxr-xr-x 2 root root 4096 4月 27 17:16 linux-x86-64
drwxr-xr-x 2 root root 4096 4月 27 17:16 macosx
-rwxr-xr-x 1 mysql games 83820 10月 15 2013 wrapper.jar
# file avx2
avx2: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, stripped
# stat avx2
File: "avx2"
Size: 1152776 Blocks: 2256 IO Block: 4096 普通文件
Device: fc01h/64513d Inode: 665319 Links: 1
Access: (0777/-rwxrwxrwx) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2017-07-06 00:15:59.578818060 +0800
Modify: 2017-07-04 12:50:18.000000000 +0800
Change: 2017-07-06 00:15:55.004817830 +0800

# uptime
10:33:58 up 69 days, 17:42, 1 user, load average: 3.00, 3.00, 2.98

负载已经成功彪上了3

线杀死该挖矿机

# kill -9 21062
# ps axuf | grep avx2
root 21638 0.0 0.0 103332 832 pts/0 S+ 10:35 0:00 \_ grep avx2
# uptime
10:35:30 up 69 days, 17:43, 1 user, load average: 1.41, 2.58, 2.84

负载已经在回落.

进入activemq的配置目录,备份原文件

# cd /opt/apache-activemq-5.9.0/conf/
# cp jetty.xml jetty.xml.bak

删除fileserver配置项

# vim jetty.xml
              <bean class="org.eclipse.jetty.webapp.WebAppContext">
<property name="contextPath" value="/admin" />
<property name="resourceBase" value="${activemq.home}/webapps/admin" />
<property name="logUrlOnStart" value="true" />
</bean>
<!--删除下面选项

<bean class="org.eclipse.jetty.webapp.WebAppContext">
<property name="contextPath" value="/fileserver" />
<property name="resourceBase" value="${activemq.home}/webapps/fileserver" />
<property name="logUrlOnStart" value="true" />
<property name="parentLoaderPriority" value="true" />
</bean>
-->

<bean class="org.eclipse.jetty.webapp.WebAppContext">
<property name="contextPath" value="/api" />
<property name="resourceBase" value="${activemq.home}/webapps/api" />
<property name="logUrlOnStart" value="true" />
</bean>

修改控制台密码

# vim jetty-realm.properties

admin: NEW_PASSWORD, admin
user: NEW_PASSWORD, user

重启activemq,将端口加入防火墙.

后期将使用单独的用户启动activemq.

ActiveMQ FileServer漏洞(详细)的更多相关文章

  1. Apache ActiveMQ Fileserver远程代码执行漏洞

    扫端口的时候遇到8161端口,输入admin/admin,成功登陆,之前就看到过相关文章,PUT了一句话上去,但是没有什么效果,于是本地搭建了一个环境,记录一下测试过程. 环境搭建: ActiveMQ ...

  2. CSRF漏洞详细说明

    CSRF漏洞详细说明 通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header.鉴于种种原因,这 ...

  3. Apache ActiveMQ序列化漏洞(CVE-2015-5254)复现

    Apache ActiveMQ序列化漏洞(CVE-2015-5254)复现 一.漏洞描述 该漏洞源于程序没有限制可在代理中序列化的类.远程攻击者可借助特制的序列化的java消息服务(JMS)Objec ...

  4. CVE-2019-11477:Linux 内核中TCP协议栈整数溢出漏洞详细分析 代码卫士 今天

    CVE-2019-11477:Linux 内核中TCP协议栈整数溢出漏洞详细分析 代码卫士 今天

  5. 【漏洞预警】Apache ActiveMQ Fileserver远程代码执行漏洞(CVE-2016-3088)

    漏洞编码:CVE-2016-3088 实验环境:Linux Apache ActiveMQ版本号:Apache ActiveMQ 5.7.0 ----------------------------- ...

  6. ActiveMQ反序列化漏洞(CVE-2015-5254)复现

      0x00 漏洞前言 Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring Framework等.Apache ...

  7. 漏洞复现 - ActiveMQ反序列化漏洞(CVE-2015-5254)

    基础知识 MQ(Message Queue):消息队列/消息中间件.消息服务将消息放在队列/主题中,在合适时候发给接收者.发送和接收是异步的(发送者和接收者的生命周期没有必然关系). 队列:消息存在队 ...

  8. ActiveMQ 反序列化漏洞(CVE-2015-5254)复现

    1.运行漏洞环境 sudo docker-compose up -d 环境运行后,将监听61616和8161两个端口.其中61616是工作端口,消息在这个端口进行传递:8161是Web管理页面端口.访 ...

  9. ActiveMq反序列化漏洞(CVE-2015-5254)漏洞复现

    漏洞原理 Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类.远程攻击者可借助特制的序列化的Java Message Service( ...

随机推荐

  1. C++并发与多线程学习笔记--参数传递详解

    传递临时对象 陷阱 总结 临时对象作为线程参数 线程id的概念 临时对象构造时的抓捕 成员函数指针做线程函数 传递临时对象作为线程参数 创建的工作线程不止一个,线程根据编号来确定工作内容.每个线程都需 ...

  2. java面试-公平锁/非公平锁/可重入锁/递归锁/自旋锁谈谈你的理解

    一.公平锁/非公平锁/可重入锁/递归锁/自旋锁谈谈你的理解 公平锁:多个线程按照申请的顺序来获取锁. 非公平锁:多个线程获取锁的先后顺序与申请锁的顺序无关.[ReentrantLock 默认非公平.s ...

  3. 2020 OO 第三单元总结 JML语言

    title: 2020 OO 第三单元总结 date: 2020-05-21 10:10:06 tags: OO categories: 学习 第三单元终于结束了,这是我目前为止最惨的一单元,第十次作 ...

  4. Unity2D项目-平台、解谜、战斗! 1.1战斗底层组件CanFight-CanBeFighted

    各位看官老爷们,这里是RuaiRuai工作室,一个做单机游戏的兴趣作坊. 本文对该2D项目中战斗底层组件的开发及设计思路做一个总结,希望各路同行多多交流,各路大佬多多指点. 实例特征分析 首先对于各个 ...

  5. Lucas(卢卡斯)定理

    Lucas(卢卡斯)定理 定义 若 \(p\) 为质数,且\(a\ge b\ge1\),则有: \[C_{a}^{b}\equiv C_{a/p}^{b/p}\cdot C_{a (mod\,p)}^ ...

  6. Android平台OpenGL ES/Assimp/OpenCV/GLM集成说明

    Android平台OpenGL ES/Assimp/OpenCV/GLM集成说明 本文代码见: https://github.com/jiangxincode/OpenGLDemo 集成Assimp ...

  7. 「Spring Boot 2.4 新特性」一键构建Docker镜像

    背景 在我们开发过程中为了支持 Docker 容器化,一般使用 Maven 编译打包然后生成镜像,能够大大提供上线效率,同时能够快速动态扩容,快速回滚,着实很方便.docker-maven-plugi ...

  8. 铁人三项(第五赛区)_2018_seven

    铁人三项(第五赛区)_2018_seven 先来看看保护 保护全开,IDA分析 首先申请了mmap两个随机地址的空间,一个为rwx,一个为rw 读入的都shellcode长度小于等于7,且这7个字符不 ...

  9. 关于Green AI

    上一篇文章提到了模型不环保这个话题.这篇文章就这个问题展开唠叨一下. 自从BERT, GPT此类的大型模型诞生以来,小作坊们除了把pre-trained的模型拿过来微调一下,就束手无策了,因为成本实在 ...

  10. WPF小经验

    Binding.IsAsync当属性值填充好后,与该属性绑定的界面才会开始加载(属性绑定优于控件加载) private IList<string> _list; public IList& ...