【警惕】大量未修复WebLogic WSAT组件RCE漏洞的主机被挖矿程序攻击
警惕
从1月1日开始,大量未修复WebLogic WSAT(全称:Web Services Atomic Transactions)组件RCE漏洞的主机被挖矿程序攻击,尤其是1月3日,更是大面积爆发,很多银行、部委、保险、电力、电信等行业用户中招儿!
症状
WebLogic服务进程非计划停机(进程退出),WebLogic Server日志中出现如下信息:
####<2018-1-2 上午12时52分26秒 CST> <Notice> <WebLogicServer> <**********> <**********> <Thread-1> <<WLS Kernel>> <> <> <1514825546683> <BEA-000388> <JVM called WLS shutdown hook.
The server will force shutdown now>
而且主机的history(Linux&Unix系)中可看到攻击脚本的身影:
我有几张阿里云幸运券分享给你,用券购买或者升级阿里云相应产品会有特惠惊喜哦!把想要买的产品的幸运券都领走吧!快下手,马上就要抢光了。
该脚本首先会杀掉本机上的python和java程序,然后下载运行比特币的挖矿程序xmrig-y(xmrig-y.exe,该程序被多款杀毒软件标示为挖矿或恶意木马程序),然后伪装成java文件运行,接着执行一个while true的循环,在满足相应的条件时,杀掉主机相关进程。
原因
受到CVE-2017-10271或者CVE-2017-3506漏洞的影响,2017年12月22日,国内很多安全站点都通报过此问题,笔者于12月31日,在中间件用户组公众号也发过相关文章,包括修复方案,但是未受到足够的重视,间接中导致这3天来很多用户WebLogic服务进程被杀掉。
而且,目前网上已经有很多此漏洞的利用工具,众多人、新的攻击方式正在粉墨登场,请务必尽快修复。