GlassFish, idegen app a szerveren (vírus?!)

Fórumok

Sziasztok!

Adott egy linux szerver, rajta egy GlassFish.
Régebben észrevettünk rajta egy deployált alkalmazást aminek nem kellet volna ott lennie.
Megnézve a települt alkalmazást a következő dolgot találtuk benne:

https://github.com/tennc/webshell/blob/master/fuzzdb-webshell/jsp/brows…

Undeployáltuk, megváltoztatuk a jelszavakat, de ma ismét megjelent.
A GlassFish processz alatt indított 6 alproszeszt és abból látszik hogy a 212.32.255.68:2222 IP címmel kommunikál, ami valami holland szolgáltatónál van.
A ~/.java/.userPrefs alá rakott be valami java nevű binárist ezt huttatja a gyári java alprocesszeiként.

Valaki találkozott már ezzel?
Hogy lehet kiírtani? Egyáltalán hol jöhet be?

Hozzászólások

Ugy tunik ez egy cryptocoin miner virus (mintha elso ranezesre monero lenne), hogy hogyan kaphattatok el, ennyibol nehez kitalalni, de az alapoktol kezdenem, mert tapasztalatom szerint nem a java futtatja subprocess-kent, hanem konkretan a futo java-t csapta felul es a most futo java a miner (tehat a leirtast is innen kezdenem, kezdesnek tipp, hogy nezzetek meg miota is fut a kerdeses ‘java’ process).

A kérdéses java process futási idejét nem nézték meg a kilövés előtt, de olyan 28 órányi CPU időt használt el. Maga a deployált app az reggel 7:29-kor került fel a könvtár létrehozási dátuma szerint.
A gyári java úgy néz ki rendben van, legalábbis a fájl dátumok alapján.

Az szerver újra lett indítva a ~/.java/.userPrefs/java törölve lett.
Most nem fut olyan process ami gyanús lenne. De ha már kétszer be tudott jönni akkor semmi nem akadályozza meg, hogy újból megtegye.
Ezért jó lenne tudni hol jöhetett be. Mit tehetünk hogy leközelebb ne történhessen ilyen.

Én ujraraknám a szervert, ha van rá lehetőség, mert esélyes, hogy rootkit. Logok mit mondanak? Hogyan jöttek be? Nem lehet valami sebezhetőség nincs megpatchelve? Plusz nézzétek már át az appjaitokat, mert esélyes, hogy ott van valami injection lehetőség. Vagy a wildfly van rosszul beállítva...