我在amazon aws实例上运行一个java网站(它是一个linux服务器)。我在端口80上安装了apache,在端口8080上安装了tomcat。当我访问网站时,它默认进入端口80(apache),然后重定向到端口8080(tomcat)。我所做的一切都是正确的,网站运行良好。但我的问题是在我在一个实例(amazon aws实例)中生成网站之后,有一个名为29881的文件夹和一个文件fake.cfg在tmp文件夹下自动生成。生成这些文件后,我的实例上的网络流量变得非常高(几乎1000mb),我需要向亚马逊支付这笔数据传输量。
我知道这是一种黑客行为,但任何熟悉我的人如何避免这种黑客行为。仅在文件夹内生成文件夹29881和文件fake.cfg后,才会在服务器上生成高流量。请帮我解决这个问题。
正如我所说,我已经在struts2框架和hibernate中构建了网站。但是当在网上检查struts2 xwork导致问题here时。任何人请参考这个,让我知道这是否会引起任何问题。如果是,请建议我如何解决问题。
答案 0 :(得分:2)
我最近碰到了同样的问题.. 我在/ tmp文件夹下找到了fake.cfg和29881执行文件 黑客的ip来自222.186.24.174,使用他的端口29881作为我的服务器的被动连接..(也许这就是为什么执行文件被称为29881) 黑客正在使用Struts 2中的漏洞。 http://struts.apache.org/development/2.x/docs/security-bulletins.html
对我来说,他正在使用漏洞s2-016(我发现他们使用的其他一些漏洞是s2-013,s2-009和s2-005) 通过将Struts 2更新为最新版本2.3.16可以解决此问题 (是的〜再次管理这些lib依赖是非常痛苦的)
您可以使用“ps -ef”查看用户“tomcat”下是否有任何可疑的pid运行,黑客被用作远程角色来执行他们通过Struts2上传的内容 并且“sudo lsof -p(pid)”看看黑客打开并执行了什么..
希望这些信息对患有同样问题的人有所帮助.. :)
我找到的最有用的页面就是这个: http://blog.trendmicro.com/trendlabs-security-intelligence/chinese-underground-creates-tool-exploiting-apache-struts-vulnerability/ 这基本上描述了他们是如何做到的。
答案 1 :(得分:0)
好吧,看起来您要么使用某种易受攻击的漏洞的tomcat版本,要么就是您无法正确保护系统。
我们注意到有几个人运行较旧的tomcat 5.5安装,这些正在被利用。我们注意到的主要问题是带宽和CPU的减速以及运行为tomcat用户的一些奇怪的其他事情
在该帖子中,她特别提到fake.cfg作为机器人丢弃的文件之一,展示了您所描述的高带宽出站行为。
http://blog.rimuhosting.com/2013/08/09/old-tomcat-5-5-installs-being-exploited/
较早版本的tomcat版本也有许多漏洞。