Satan勒索病毒出现新变种,不仅能在Windows和Linux系统下执行,还利用多种应用漏洞传播,加密文件后缀更新为.lucky。核心Web应用漏洞涉及Tomcat、Weblogic及Struts2等,全国受影响设备IP约137,850个。建议定期备份数据,检查并删除病毒相关启动信息,设置复杂口令,及时更新应用版本。
勒索病毒核心Web应用漏洞如下:
Tomcat任意文件上传漏洞(CVE-2017-12615)
Tomcat web管理后台弱口令爆破
Weblogic WLS 组件漏洞(CVE-2017-10271)
Apache Struts2远程代码执行漏洞S2-045
Apache Struts2远程代码执行漏洞S2-057
Weblogic任意文件上传漏洞(CVE-2018-2894)
我们通过ZoomEye统计全国可能影响设备IP约137,850个。WebSOC网站立体监控系统最新4.6.38.0版本,可准确识别此病毒高危Web应用漏洞,请相关用户引起关注,及时做好设备检查和防护措施。
升级下载
1.离线升级包下载(系统管理-关于-获取证书编号登录):http://update.knownsec.com。
2.在线自动升级:系统管理-版本升级-升级策略-开启自动升级。
临时防护建议
定期对重要数据进行备份。
检查crontab和rc.local文件,删除该病毒相关的启动信息。
检查/etc/rc6.d/S20loop文件指向的位置,删除该目录下相关的样本程序文件,包括.loop,.conn32/64,.cry32/64,最后删除/etc/rc6.d/S20loop文件。
为操作系统和相关应用设置复杂的登录口令。
及时更新相关应用的版本,或安装安全补丁来修复应用漏洞。
禁用Tomcat Web登录
由于该病毒会通过Tomcat爆破的方式进行传播,因此建议用户直接登录服务器进行应用部署,禁用Web管理页面的登录功能。
在Tomcat配置文件中,删除类似如下的配置项,即可禁用Web端登录:
IOC
C&C:
111.90.158.225
111.90.158.225/d/ft32
107.179.65.195/d/ft32
23.247.83.135/d/ft32
111.90.158.224/d/ft32Hash:
34CDBBDA5F7C02CA179A366232ADBB96
84DDEE0187C61D8EB4348E939DA5A366
36E34E763A527F3AD43E9C30ACD276FF
D1AC4B74EE538DAB998085E0DFAA5E8D
A8CAB7C48D687B510FB8EAF053BD5722
7FCD8A6C72C06D1892132D5E1D793B4B
8D3C8045DF750419911C6E1BF493C747
E145264CFFA3C01A93871B27A4F569CC
3D659FC3561E94051998D11381A00BBD
226B25F47DD6C62077CF52AEB5A759E7
161090CAC8C73B249E8B9A939AB4B665
转载于:https://blog.51cto.com/14071176/2324286
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
