Windows 服务器被入侵 - V2EX

Home Sign Up Sign In

› DigitalOcean

This topic created in 3114 days ago, the information mentioned may be changed or developed.

公司的 Windows 服务器被入侵了。

服务器上部署了两个网站，主站是 Spring MVC + Spring + Hibernate，还有个小站（主要是内部使用，却是对外开放）是 Struts 2 + Spring + Hibernate。本来以为主站做好了各种优化和防护就安枕无忧了，后来查了 Nginx 的 error.log ，才发现黑客利用了 Struts 2 的执行代码漏洞，上传了一个工具 JSP，然后把文件复制到主站目录。

经验教训是，不要忽略任何细节，例如这个小站。

目前，小站升级了 Struts，做了 IP 限制，一了百了。

19 replies • 2017-11-09 08:15:05 +08:00

1

Athrob

Nov 4, 2017

内部使用为什么要对外开放[黑人问号]

2

iamfirst

Nov 4, 2017 via iPhone

没一了百了的事情，安全资讯还是要时刻关注，经常升级和打补丁

3

kokutou

Nov 4, 2017

Struts 漏洞好久了吧。。。

4

hugee

Nov 4, 2017 via Android

装了 xx 狗，xx 卫士么？

5

fox0001

OP

Nov 4, 2017

@hugee #4 啥都没装，基本裸奔

6

fox0001

OP

Nov 4, 2017

@Athrob #1 一开始是对外开放的，后来才转为内部使用

7

fox0001

OP

Nov 4, 2017

@kokutou #3 懒人之过…

8

claysec

Nov 4, 2017

@fox0001 没有自查内部网络是否也有沦陷的机器了吗

9

fox0001

OP

Nov 4, 2017

@claysec #8 没有…

10

Cu635

Nov 4, 2017

@fox0001
是没有自查过还是检查过没有其它沦陷机器？

11

pq

Nov 4, 2017

用 windows 跑这些东西，配置起来应该不比 linux 更轻松吧？又不是.net 。。。。

12

CFO

Nov 4, 2017 via Android

@pq 不都是 jdk + tomcat 吗？有什么区别？

13

WordTian

Nov 4, 2017 via Android

别用 struts 了，都快成筛子了。就今年到现在 struts 的漏洞已经从 046 到 052 了。大部分都是远程执行漏洞。再过一段时间，再爆出几个也一点不稀奇

14

hcymk2

Nov 4, 2017

1

检测 struts 命令执行漏洞
https://github.com/Lucifer1993/struts-scan

15

gancl

Nov 4, 2017

https://www.v2ex.com/t/341483

16

fox0001

OP

Nov 5, 2017

@WordTian #13 老网站，有人维护已经不错了

17

claysec

Nov 5, 2017

@fox0001 .....建议马上自查。

18

fox0001

OP

Nov 5, 2017

@pq #11 历史问题，要是有得选，也不会用 Windows。不过 struts 的漏洞，选什么系统也一样吧？

19

yingfengi

Nov 9, 2017 via Android

出口架一台墙吧

About · Help · Advertise · Blog · API · FAQ · Solana · 2953 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 285ms · UTC 14:38 · PVG 22:38 · LAX 07:38 · JFK 10:38
♥ Do have faith in what you're doing.