作者:汤小宁
这个漏洞的突然蹿红与近一年来比特币的价格飞涨有关,因为这个漏洞很容易被利用,而服务器的硬件配置,包括CPU、网络环境、存储等,一般来说相对较好,正适合拿来做挖矿的肉鸡。
被感染的weblogic主机表现非常明显,CPU资源使用率超高,频繁宕机;在Unix环境下用top命令可以看到watch-smartd、minerd等进程,在Windows环境一般能见到yam.exe。
实际上,这并不是一个特别新的漏洞,在17年10月的时候Oracle已经为这个漏洞(CVE-2017-10271)发布了正式补丁,我们的大部分客户也已经陆陆续续做了相关修复。
基于Oracle的产品支持策略,补丁是针对受影响的可支持版本提供的,有补丁的weblogic版本包括:
对于有补丁的版本,更新170717的CPU是最稳妥的方案;而对于没有补丁的版本,通过删除wsat相关组件进行规避同样是可行的。打补丁属于最常规的基础操作,这里不再重复。
首先我们看一下关于wsat的说明:
WebLogicWeb services enable interoperability with other external transaction processingsystems, such as Websphere, JBoss, Microsoft .NET, and so on, through thesupport of the following specifications:
Web Services Atomic Transaction(WS-AtomicTransaction) Versions 1.0, 1.1, and 1.2
为保证包都被找到,建议通过find进行查找,然后rm删除。
当然,万一这个包真的对业务程序有用,那么理论上在应用包里也会包含相关内容,删除weblogic自带的包并不会有什么影响。但这样的话就必须把weblogic升级到可支持版本然后打上补丁了。
https://support.oracle.com/epmos/faces/DocumentDisplay?id=2296870.1
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
http://www.oracle.com/technetwork/cn/topics/security/cpuoct2017-3236626-zhs.html
https://support.oracle.com/epmos/faces/DocumentDisplay?id=1313723.1
转自微信公众号:海天起点
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞4
添加新评论0 条评论