世界上還是牛人多，在2011年的時候，一名大三的學生有了困擾，隨后上知乎發布了一個提問大三學生手頭有6000元，有什么好的理財投資建議?在2017年的今天，上到了知乎熱門提問，因為在提問下面有一個獲得上萬點贊的回答“買比特幣，保存好錢包文件，然后忘掉你有過6000元這回事，五年后再看看。

我是一個服務器，并且還是一個內網的Linux服務器，外面武裝了天清漢馬防火墻，內部有firewall，強大的密碼組合，甚至自己都記不清到底幾位數，然就是這樣我還是被無情的攻擊了。

那天清晨，感覺大腦有點發燒，趕緊發出一條top指令：

發現了一條詭異的進程atd，CPU占用居然將近600%，執行命令ps -eaf|grep atd：

緊接著find / -name atd查找相關指令存放地點。

突然覺得還是先把這個atd進程殺掉為好，kill -9 17257，立即馬上迅速強行殺死。

隨后退燒了，但可惡的是，不到幾分鐘，又燒了，一看又是atd這個進程在運行。

殺掉后重新運行，一定是在某個地方有定時，檢查了一下定時任務，crontab -l：

擦，以前的定時腳本不見了，多了兩條奇怪的任務，里面有個網址很特別，復制到瀏覽器訪問，本以為是個美女或者驚悚圖，結果是個大黑圖，F12圖片網絡請求發現Response中居然存在如下代碼：

一坨腳本，狗日的 居然有 rm -rf 這是要要了老子的命啊！！！ 嚇大趕緊打開藍燈谷歌搜索這個命令，在virustotal找到以下說明:

同時發現了一條四天前的評論，這是一個腳本，通過struts漏洞傳播下載和啟動一個bitcode礦工。

在gov.lk中也發現了有一坨代碼，隱約發現與struts2有關：

由于一些老舊項目還在使用struts2，于是查詢了一下相關日志，居然發現了傳說中的OGNL注入

黑客攻擊者通過使用一個表單來發送一些內容到struts請求，該內容被OGNL解析，結果創建了crontab，擦，真是耳聞不如一見啊，也有中招的那一天，就這樣我變成了一個苦逼的挖礦工。

Struts2的安全漏洞從2010年開始陸續被披露存在遠程代碼執行漏洞，從2010年的S2-005、S2-009、S2-013 S2-016、S2-019、S2-020、S2-032、S2-037、devMode、及2017年3月初Struts2披露的S045漏洞，每一次的漏洞爆發隨后互聯網都會出現Struts2掃描攻擊活動。

此次攻擊針對Struts2的遠程命令執行漏洞，漏洞編號:S2-045，CVE編號:CVE-2017-5638，官方評級為高危，該漏洞是由于在使用基于Jakarta插件的文件上傳功能條件下，惡意用戶可以通過修改HTTP請求頭中的Content-Type值來觸發該漏洞，黑客通過批量對互聯網的WEB應用服務器發起攻擊，并下載惡意腳本執行下載進行比特幣挖礦程序，主要感染Linux服務器。

經檢測和搜索，這應該是一個有組織有紀律的挖礦集團，以下是IP地址來源，萬惡的蘇修主義啊，真是亡我天朝之心不死。

Struts2升級版本至2.5.10，高危漏洞又來了，這是三月份的一篇升級，當時投機的還是趕緊升了吧，如果實在不想升級，無所謂反正是挖礦，不會破壞你什么。

但是，如果不挖礦呢，那就傻逼了？到時候就不是發燒那么簡單了，很多公司上線部署都不是很規范，可能所有的程序都用root啟動也說不定呢？

作者：小柒

來源：http://www.cnblogs.com/smallSevens/p/7554380.html