2、木馬文件路徑:/web/tomcat-xxx/webapps/no3/cc.jsp。
1、在未確認cc.jsp文件功能之前,將webapps文件夾下的no3文件夾和no3.war文件刪除,同時將no3.war文件備份到/home/xxx目錄下。
2、同時將no3文件夾下的cc.jsp文件發送到本地進行分析,確認是壹個jsp的木馬後門文件,可以獲取遠程服務器權限。
1、攻擊者在webapps文件夾下上傳了壹個no3.war文件,並創建了包含cc.jsp木馬文件的no3 文件夾,首先應找到上傳的方式和路徑。查看下網站,發現網站是采用的Tomcat容器。
2、進壹步的思路是排查Tomcat本身的漏洞,查看Tomcat的配置文件tomcat-users.xml,發現Manager APP管理員弱口令。
3、可能的攻擊思路是,通過Tomcat弱口令漏洞上傳war格式的木馬文件。
1、通過admin/admin弱口令登錄 http://x.x.x.x/ 的Manager App功能。
2、然後找到WAR file to depoly功能,上傳壹個包含了木馬的Tomcat WAR包。WAR包類似於壹個網站的壓縮包文件,可以在WAR包裏構造好自己的木馬,然後傳至服務器。
3、在這裏測試上傳了壹個goodwin.war文件(war裏邊包含了壹個木馬文件cc.jsp),上傳成功之後在服務器的網站根目錄下會自動解壓生成壹個goodwin的文件夾。而木馬文件cc.jsp就在goodwin文件夾內。
4、祭出菜刀神器,添加並連接剛才上傳的木馬文件地址,密碼023。
5、然後打開文件管理功能,發現我們已經獲得了服務器權限,並可以訪問服務器上的所有文件。
6、這樣就復現了攻擊者通過上傳壹個no3.war文件,並自動解壓生成壹個包含了cc.jsp木馬的no3文件夾,然後通過遠程連接獲取了服務器的webshell,拿下了服務器權限的過程。
1、確定可疑文件為木馬後門後,刪除服務器上備份的no3.war。
2、刪除測試過程上傳的goodwin.war文件和goodwin文件夾下的所有文件。
3、修改Tomcat管理員密碼。
1、排查並刪除服務器上的可疑用戶cat /etc/passwd。
2、不定期修改Tomcat口令,更改為包含了大寫字母、小寫字母、數字、特殊字符的強密碼。
3、升級Tomcat版本,目前采用的版本為7.0.54,存在多個安全漏洞,建議升級到最新版本7.0.88。