记录云计算中心日常工作关于系统运维,虚拟化云计算,数据库,网络安全等各方面问题。
警惕从1月1日开始,大量未修复WebLogic WSAT(全称:Web Services Atomic Transactions)组件RCE漏洞的主机被挖矿程序攻击,尤其是1月3日,更是大面积爆发,很多银行、部委、保险、电力、电信等行业用户中招儿!症状 WebLogic服务进程非计划停机(进程退出),WebLogic Server日志中出现如下信息:####<2018-1-2 上午12时52分26秒 CST> <Notice> <WebLogicServer> <**********> <**********> <Thread-1> <<WLS Kernel>> <> <> <1514825546683> <BEA-000388> <JVM called WLS shutdown hook. The server will force shutdown now>而且主机的history(Linux&Unix系)中可看到攻击脚本的身影:该脚本首先会杀掉本机上的python和java程序,然后下载运行比特币的挖矿程序xmrig-y(xmrig-y.exe,该程序被多款杀毒软件标示为挖矿或恶意木马程序),然后伪装成java文件运行,接着执行一个while true的循环,在满足相应的条件时,杀掉主机相关进程。原因 受到CVE-2017-10271或者CVE-2017-3506漏洞的影响,2017年12月22日,国内很多安全站点都通报过此问题,笔者于12月31日,在中间件用户...
设你正在运行使用InnoDB表格的MySQL,糟糕的硬件设备,驱动程序错误,内核错误,不幸的电源故障或某些罕见的MySQL错误使你的InnoDB表空间被损坏了。在这种情况下,InnoDB的一般会出现这样的输出:InnoDB: Database page corruption on disk ora failedInnoDB: file read of page 7.InnoDB: You may have to recover from a backup.080703 23:46:16 InnoDB: Page dump in ascii and hex (16384bytes):... 这里省略很多二进制和十六进制编码...080703 23:46:16 InnoDB: Page checksum 587461377,prior-to-4.0.14-form checksum 772331632InnoDB: stored checksum 2287785129, prior-to-4.0.14-form storedchecksum 772331632InnoDB: Page lsn 24 1487506025, low 4 bytes of lsn at page end1487506025InnoDB: Page number (if stored to page already) 7,InnoDB: Database page corruption on disk or a failedmysqldump导出库时报错如下:"mysqldump: Error 2013: Lost connection to MySQL server during query when dumping table `; at row:6880"或是操作对应表时,也会报错。这时数据库会重启。当时想到的是在修复之前保证数据库正常,不是这么异常的无休止的重...
1.简介 CVE-2017-10271是weblogic wls-wsat组件的一个xml反序列化漏洞,可造成远程命令执行。更详细分析可见参考链接,本文强调在进行参考链接修复中的一些细节。   2.影响版本 OracleWebLogic Server10.3.6.0.0OracleWebLogic Server12.1.3.0.0OracleWebLogic Server12.2.1.1.0OracleWebLogic Server12.2.1.2.0 打了B25A及其之前版本的补丁都没用,需要打2017年10月的补丁(FMJJ)   3.处理办法 3.1临时处理办法 删除wls-wsat组件,然后重启weblogic(weblogic安装路径和domain名等根据自己实际情况修改) rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat cd /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/bin ./stopWebLogic.sh ./startWebLogic.sh & 说明: 1....
CentOS Linux接受针对Meltdown和Spectre漏洞的安全更新免费的Red Hat克隆版CentOS Linux已经收到了一个重要的内核安全更新,该更新修补了影响数十亿设备的Meltdown和Spectre安全漏洞。新的内核安全补丁可用于CentOS 7的64位(x86_64)安装,并且以多个软件包的形式提供,用户需要在其计算机上安装。由于CentOS 7基于红帽企业版Linux 7,这些安全更新来自Red Hat官方,因为Red Hat最近在其支持的操作系统中修补了Meltdown和Spectre安全漏洞。有问题的软件包是kernel-3.10.0-693.11.6.el7.x86_64.rpm,kernel-abi-whitelists-3.10.0-693.11.6.el7.noarch.rpm,kernel-debug-3.10.0-693.11 .6.el7.x86_64.rpm,kernel-debug-devel-3.10.0-693.11.6.el7.x86_64.rpm,kernel-devel-3.10.0-693.11.6.el7.x86_64.rpm和kernel- DOC-3.10.0-693.11.6.el7.noarch.rpm。kernel-headers-3.10.0-693.11.6.el7.x86_64.rpm, kernel-tools-3.10.0-693.11.6.el7.x86_64.rpm, kernel-tools-libs-3.10.0-693.11.6.el7.x86_64.rpm, kernel-tools-libs-devel-3.10.0-693.11.6.el7.x86_64.rpm, perf-3.10.0-693.11.6.el7.x86_64.rpm, and python-perf-3.10.0-693.11.6.el7.x86_64.rpm包也需要更新。...
点劫持(Clickjacking: X-Frame-Options header missing)(低危)修复建议:配置web server使之包含一个X-Fame-Options头。解决方法:1>  首先查看是否已编译mod_headers.c模块    # /usr/local/apache2/bin/apachectl -l2>  如果没有,首先编译mod_headers.c模块      # cd /root/httpd-2.2.31/modules/metadata/      # /usr/local/apache2/bin/apxs -i -a -c -n headers mod_headers.c      --用apxs工具添加模块 3> 修改配置文件      # vim /usr/local/apache2/conf/httpd.conf      添加如下内容:<IFModule mod_headers.c> Header always append X-Frame-Options SAMEORIGIN </IFModule>4> 重启httpd服务。     # /usr/local/apache2/bin/apachectl restart
大体调查下是weblogic对外提供了uddi方式的服务,而攻击者借用这一个对外公布服务进行的攻击。 关于oracle产品 uddi漏洞,看了篇文章http://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html说oracle发布了对应的更新包CPU = Critical Patch Update 更新包 http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html可以根据oralce官方提供的文档,进行修复。最终我采用下面方法进行解决(如果你的应用没有使用uddiexplorer服务,你可以按照我下面方式来搞)/app/bea/weblogic92/server/lib/uddiexplorer.war,使用RAR打开后,注释掉下图的对应jsp,再进行打包,替换之前的/app/bea/weblogic92/server/lib/uddiexplorer.war发现通过http://ip:port/uddiexplorer/SearchPublicRegistries.jsp 访问页面,无法找到,报404错误。 上面方法改的是weblogic92/server/lib公共部分,改后,应该适用weblogic下面建的所有域。
    总共323页,当前第1页 | 页数:
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7