黑客利用高危WebLogic漏洞对服务器发起攻击

2017-12-22 14:59:11
近日,腾讯安全威胁情报中心监测到黑客利用漏洞(CVE-2017-3248、CVE-2017-10271)对WebLogic服务器发起大范围攻击。
攻击开始时间:

2017-12-22

IOC(样本Hash/IP/域名等):

IP:
72.11.140.178
72.11.140.179
72.11.140.180
72.11.140.181
72.11.140.182
url:
pool.minexmr.com

应急方案:
升级版本以修复漏洞。
事件描述:

近日,腾讯安全威胁情报中心监测到黑客利用漏洞(CVE-2017-3248、CVE-2017-10271)对WebLogic服务器发起大范围攻击。
漏洞参考链接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
目前,国内包括金融行业在内的大量网站受此漏洞影响,需引起高度重视。腾讯安全威胁情报中心提醒用户升级版本修复漏洞,以避免遭遇黑客攻击。
检测措施
1、 尽快对失陷机器进行排查和清理,检查主机日志中是否出现以下字符串:
a)  对于 Linux 主机,检查日志中是否出现以下报错字符串:
java.io.IOException: Cannot run program"cmd.exe": java.io.IOException: error=2, No such file or directory
b)  对于 Windows 主机,检查日志中是否出现以下报错字符串:
java.io.IOException: Cannot run program “/bin/bash":java.io.IOException: error=2, No such file or directory
若出现,则说明系统可能已被入侵。
2、监测本机与IOC中提供的url、ip的连接日志,若有出现,则可能已被入侵。



最新资讯