ITKeyword,专注技术干货聚合推荐

注册 | 登录

Java执行js脚本

pyzheng 2015-11-14

相关推荐:如果动态的执行java脚本,这个在脚本公式配置的时候很方便

package com.bfrj.core.groovy;import java.util.HashMap;import java.util.Map;import org.jeecgframework.core.util.ApplicationContextUtil;

转自:http://xxrenzhe.blog.51cto.com/4036116/1532469

起因:

公司使用的是Ucloud的云主机服务,今天上午突然被告知有一台服务器的出口流量激增,对外发包量短时间内达到了100万,而且都是UDP类型的,第一感觉就是:诶呀,莫不是被黑了,被当肉鸡了呀!


探究:

立马登录对应的服务器,首先使用iftop查看流量状况

wKiom1PXewmxnBlAAAIc3Cx_xKI222.jpgwKioL1PXfFTz7OPKAAJYayVxA5Q867.jpg

可以看出出口流量好吓人,1分钟内累计700M流量,查了一下这2个IP地址,一个是在美国,一个是在浙江电信;

赶紧查看正在运行的进程,找出疑似进程,还真有所发现:

wKioL1PXffLTYiecAAFKNFx1Tg0944.jpg

[.ECC6DFE919A382]这个进程还想冒充系统进程,疑点极大,而且/tmp/freeBSD也是一个很奇怪的东西,而498这个UID对应的用户是elasticsearch,想起来昨天部署了Elasticsearch + Logstash,以实现日志统计系统,不会是ES有bug吧,继续查看原因

wKiom1PXf96xKGEEAAO1e8i1ER4561.jpg怀疑/tmp/freeBSD就是被挂马的程序,可惜已经被删除了,无法查看了


原因:

罪魁祸首查出来了,细致的原因还需要详查,所以现在最重要的就是解决问题,迅速kill掉相关进程,再次查看iftop发现流量迅速回落了,更加证实了我们的判断;

相关推荐:Java利用ssh工具远程执行shell脚本

1.首先下载ganymed-ssh2.jar http://www.ganymed.ethz.ch/ssh22.SSHUtil工具类import java.io.BufferedReader;import java.io.IOException;im

接下来就需要查找被劫持挂马的原因和具体的劫持方式,以绝后患,而通过外部搜索引擎也是很快就定位了问题的原因,就是“Elasticsearch远程任意代码执行”漏洞:

  • ElasticSearch有脚本执行(scripting)的功能,可以很方便地对查询出来的数据再加工处理; ElasticSearch用的脚本引擎是MVEL,这个引擎没有做任何的防护,或者沙盒包装,所以直接可以执行任意代码。;

  • 而在ElasticSearch 1.2之前的版本里,默认配置是打开动态脚本功能的,因此用户可以直接通过http请求,执行任意代码。;

  • 其实官方是清楚这个漏洞的,在文档里有说明: 

  • First, you should not run Elasticsearch as the root user, as this would allow a script to access or do anything on your server, without limitations. Second, you should not expose Elasticsearch directly to users, but instead have a proxy application inbetween.

终于找到原因,那就解决吧


解决方案:

法一:手动关闭ES远程执行脚本的功能,即在每一个ES节点的配置文件elasticsearch.yml中添加如下一行即可

1 script.disable_dynamic:  true

然后重启ES即可;

法二:升级ES至1.2版本以上也可,因为在ES1.2版本中已默认关闭了远程执行脚本的功能,但需考虑与Logstash的兼容性问题;


后续:

  1. 根据官方的资料,为了保证ES的安全性,不可以root身份启动ES,且可考虑使用代理(负载均衡器也可),对外开放非9200端口(如9300),转发至内网的9200端口,可有效防止小人们的恶意端口扫描;

  2. 因为已经被挂马了一次,所以在重新启用ES之前,还需全面检查被入侵的主机是否还有其它隐患,这就涉及web安全扫描的内容了,暂时小白,还未了解,故希望有经验的前辈可以多多请教!


相关推荐:运用ANT地SQL Task来完成自己地Java执行SQL脚本文件地功能

前面记载过一篇Java执行SQL脚本文件,这里边完全是由自己写代码来分离出脚本中的每一个SQL语句的,有不少缺陷。当时还不太清楚ANT本身提供了功能很强

http://my.oschina.net/sniperLi/blog/530338package cn.sniper.spider.utils; import java.io.BufferedReader;import java.io.FileInputStream;import java.io.InputStream;import...

相关阅读排行


用户评论

游客

相关内容推荐

最新文章

×

×

请激活账号

为了能正常使用评论、编辑功能及以后陆续为用户提供的其他产品,请激活账号。

您的注册邮箱: 修改

重新发送激活邮件 进入我的邮箱

如果您没有收到激活邮件,请注意检查垃圾箱。