來源：

警惕 

從1月1日開始，大量未修復WebLogic WSAT（全稱：Web Services Atomic Transactions）元件RCE漏洞的主機被挖礦程式攻擊，尤其是1月3日，更是大面積爆發，很多銀行、部委、保險、電力、電信等行業使用者中招兒！

症狀 

WebLogic服務程序非計劃停機（程序退出），WebLogic Server日誌中出現如下資訊：

####<2018-1-2 上午12時52分26秒 CST> <Notice> <WebLogicServer> <**********> <**********> <Thread-1> <<WLS Kernel>> <> <> <1514825546683> <BEA-000388> <JVM called WLS shutdown hook. The server will force shutdown now>

而且主機的history（Linux&Unix系）中可看到攻擊指令碼的身影：

該指令碼首先會殺掉本機上的python和java程式，然後下載執行比特幣的挖礦程式xmrig-y（xmrig-y.exe，該程式被多款防毒軟體標示為挖礦或惡意木馬程式），然後偽裝成java檔案執行，接著執行一個while true的迴圈，在滿足相應的條件時，殺掉主機相關程序。

原因 

受到CVE-2017-10271或者CVE-2017-3506漏洞的影響，2017年12月22日，國內很多安全站點都通報過此問題，筆者於12月31日，在中介軟體使用者組公眾號也發過相關文章，包括修復方案，但是未受到足夠的重視，間接中導致這3天來很多使用者WebLogic服務程序被殺掉。

而且，目前網上已經有很多此漏洞的利用工具，眾多人、新的攻擊方式正在粉墨登場，請務必儘快修復。

目前全球最活躍的程式碼託管平臺Github上，於此漏洞相關的利用資料庫（工具）已經有6個，而且每個資料庫有眾多的跟隨者。

影響的版本 

WebLogicServer 10.3.3 - 12.2.1.2（注意：並非像網上說的那樣隻影響4個版本，而是10個版本）

建議修復方案 

有PSU補丁的WLS 10.3.6、12.1.3、12.2.1.1、12.2.1.2版本：

（1）安裝最新的PSU（2017年10月份釋出的）

（2）刪除wls-wsat應用包

WebLogic11g版本，wls-wsat應用包的位置：

$WL_HOME/server/lib/wls-wsat.war

WebLogic12c版本（12.1.3、12.2.1.1、12.2.1.2版本）：

$BEA_HOME/oracle_common/modules/com.oracle.webservices.wls.wsat-endpoints-impl_<xxx>.war）

（3）刪除每個WebLogic Server目錄下的tmp目錄

位置：$DOMAIN_HOME/servers/SERVER_NAME/tmp

這裡跟網上所寫的刪除的方法不太一樣，請按照這個方法做，因為可能有JSP網頁木馬已經潛伏在$DOMAIN_HOME/servers/SERVER_NAME/tmp/_WL_internal/bea_wls_internal/9j4dqk/war目錄下，管理、被管Server均需執行，非生產時間操作）

（4）檢查WebLogic關鍵元件

首先檢查wls-wsat元件是否已經清乾淨，用瀏覽器或寫指令碼檢測每個WebLogic Server上的/wls-wsat/CoordinatorPortType應用URL（（http://< wls listenaddress>:<wls listen port>/wls-wsat/CoordinatorPortType））訪問是否返回404，如果是表示已無法利用，然後再檢查uddiexplorer是否已清理乾淨、bea_wls_internal的Servlet功能是否已經被禁用（/uddiexplorer、/bea_wls_internal、/wls-wsat上下文對應的這3個應用都可以成為JSP網頁木馬的藏身之處）

（5）重要的系統還需要重新部署一下應用

因為有可能你的應用包中潛伏著JSP網頁木馬。請刪除目前主機上的應用包（或mv改個名字），然後將一份安全的應用包上傳到懷疑被攻擊的主機上，重新部署一下應用。

（6）檢查主機中其他位置是否有可疑檔案或程序

其他沒有10月份PSU補丁的版本（WLS 10.3.3 - 10.3.5，以及12.1.1、12.1.2、12.2.1.0）執行後面的5步操作即可。

另外，刪除每個WebLogicServer目錄下的tmp目錄的操作跟-Dweblogic.wsee.wstx.wsat.deployed=false（禁用wls-wsat功能）功效相似，但刪tmp目錄的操作還可以清除可疑的JSP網頁木馬。

延伸閱讀 

此次被利用的漏洞源自WebLogic自帶的一個wls-wsat.war應用包（Web Services Atomic Transactions元件），該元件存在RCE（遠端程式碼執行）漏洞，允許使用JDK自身的XMLDecoder進行反序列化漏洞攻擊，下載並執行比特幣的挖礦程式。

但Java XMLDecoder反序列化漏洞也並不是這兩年才出來，早在2013年就已經爆出來了，2015年爆出來的CVE-2015-4852也並不是唯一的反序列化漏洞。

Github上有一個專案Java-Deserialization-Cheat-Sheet（https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet），總結了幾乎所有的Java反序列化漏洞。

你可以從中找到被廣泛利用的commons-collection、XMLDecoder等Java反序列化漏洞，反序列化漏洞預防、檢測與修復工作的重要性越發凸顯了。

我們每個人都知道資料安全的重要，可是資料安全到底應該如何做起？

如果您希望快速瞭解您企業的資料庫是否存在眾多的安全漏洞或者安全風險，推薦您自助使用雲和恩墨的免費自動化巡檢工具：Bethune（白求恩），該工具為基於雲平臺的免費工具，在幫您檢查資料庫基本情況的同時，也內建安全方面的檢查，通過對資料庫安全補丁、訪問來源、訪問工具等維度的分析，幫助使用者快速梳理資料庫安全情況，讓您掌握第一手的資料庫安全諮詢。

在白求恩的智慧診斷平臺中，我們從點滴做起，幫助使用者發現安全問題，改善安全體驗。

從資料安全的各個緯度中，訪問安全處於重要的核心位置，而Oracle資料庫的監聽日誌就處於記錄訪問來源的重要崗位。白求恩 - Bethune 通過對於監聽日誌的發掘幫助使用者清晰展現資料庫的訪問來源，訪問應用等，提示安全風險，幫助使用者加強安全管控。

我們來看看白求恩的分析和展現。

白求恩首先會對訪問來源的IP根據權重進行視覺化展現，這個檢視可以自由縮放，以展示訪問來源的詳細狀況，可以幫助使用者發現可疑的訪問來源：

有了訪問來源，白求恩還可以分析訪問頻度，幫助使用者找到連線風暴的時點，以便通過優化規避和分散連線請求，在以下的圖例中，展示了一個連線風暴點，在這個位置，客戶的集中併發訪問甚至使得資料庫失去響應：

對於DBA來說，清楚的瞭解應用的訪問分佈，是必要的工作內容，也是瞭解和熟悉資料庫應用的起點。

有了監聽日誌，我們還可以清晰的展示訪問資料庫的應用型別和訪問源：

從訪問源中，如果發現未授權的IP地址，則應該引起高度的安全重視；

如過有未授權的應用，則更應該梳理和明確規範；

這是資料安全中最核心的要素之一。

在以下的資料中，顯示了來自不同地址的 plsqldev.exe 連線，這是必須要要明確定義訪問許可的高危應用：

在2016年下半年爆發的Oracle資料庫比特幣勒索事件中，plsqldev 正是感染的來源之一。Bethune 檢測這一風險並給出提示，以下提示顯示這個資料庫遭遇到了比特幣攻擊：

監聽器的日誌中，隱藏著豐富的資訊，提升資料庫的安全防範，可以由此作為一個起點，白求恩正是因應使用者的需求，豐富了這一個功能，幫助大家提高安全的警示和預防。

清清楚楚的分析，明明白白的展示，資料庫智慧診斷分析，盡在Bethune平臺！

Bethune官網：bethune.enmotech.com

如果你在使用Bethune的過程中，有任何疑問，可以在網站的反饋頁面直接回復或者通過白求恩小助手（微信 sunx5126 ）加入到Bethune使用者交流群，與白求恩使用者和專家交流討論。

當然，如果您的資料庫已經遭受攻擊和資料損失，您也不要擔心，立刻緊急聯絡雲和恩墨的服務團隊，我們將幫助您處理資料修復事宜。雲和恩墨久經考驗的ODU產品，可以在資料丟失後最大限度的恢復資料。

相關閱讀：

警惕 

從1月1日開始，大量未修復WebLogic WSAT（全稱：Web Services Atomic Transactions）元件RCE漏洞的主機被挖礦程式攻擊，尤其是1月3日，更是大面積爆發，很多銀行、部委、保險、電力、電信等行業使用者中招兒！

症狀 

WebLogic服務程序非計劃停機（程序退出），WebLogic Server日誌中出現如下資訊：

####<2018-1-2 上午12時52分26秒 CST> <Notice> <WebLogicServer> <**********> <**********> <Thread-1> <<WLS Kernel>> <> <> <1514825546683> <BEA-000388> <JVM called WLS shutdown hook. The server will force shutdown now>

而且主機的history（Linux&Unix系）中可看到攻擊指令碼的身影：

該指令碼首先會殺掉本機上的python和java程式，然後下載執行比特幣的挖礦程式xmrig-y（xmrig-y.exe，該程式被多款防毒軟體標示為挖礦或惡意木馬程式），然後偽裝成java檔案執行，接著執行一個while true的迴圈，在滿足相應的條件時，殺掉主機相關程序。

原因 

受到CVE-2017-10271或者CVE-2017-3506漏洞的影響，2017年12月22日，國內很多安全站點都通報過此問題，筆者於12月31日，在中介軟體使用者組公眾號也發過相關文章，包括修復方案，但是未受到足夠的重視，間接中導致這3天來很多使用者WebLogic服務程序被殺掉。

而且，目前網上已經有很多此漏洞的利用工具，眾多人、新的攻擊方式正在粉墨登場，請務必儘快修復。

目前全球最活躍的程式碼託管平臺Github上，於此漏洞相關的利用資料庫（工具）已經有6個，而且每個資料庫有眾多的跟隨者。

影響的版本 

WebLogicServer 10.3.3 - 12.2.1.2（注意：並非像網上說的那樣隻影響4個版本，而是10個版本）

建議修復方案 

有PSU補丁的WLS 10.3.6、12.1.3、12.2.1.1、12.2.1.2版本：

（1）安裝最新的PSU（2017年10月份釋出的）

（2）刪除wls-wsat應用包

WebLogic11g版本，wls-wsat應用包的位置：

$WL_HOME/server/lib/wls-wsat.war

WebLogic12c版本（12.1.3、12.2.1.1、12.2.1.2版本）：

$BEA_HOME/oracle_common/modules/com.oracle.webservices.wls.wsat-endpoints-impl_<xxx>.war）

（3）刪除每個WebLogic Server目錄下的tmp目錄

位置：$DOMAIN_HOME/servers/SERVER_NAME/tmp

這裡跟網上所寫的刪除的方法不太一樣，請按照這個方法做，因為可能有JSP網頁木馬已經潛伏在$DOMAIN_HOME/servers/SERVER_NAME/tmp/_WL_internal/bea_wls_internal/9j4dqk/war目錄下，管理、被管Server均需執行，非生產時間操作）

（4）檢查WebLogic關鍵元件

首先檢查wls-wsat元件是否已經清乾淨，用瀏覽器或寫指令碼檢測每個WebLogic Server上的/wls-wsat/CoordinatorPortType應用URL（（http://< wls listenaddress>:<wls listen port>/wls-wsat/CoordinatorPortType））訪問是否返回404，如果是表示已無法利用，然後再檢查uddiexplorer是否已清理乾淨、bea_wls_internal的Servlet功能是否已經被禁用（/uddiexplorer、/bea_wls_internal、/wls-wsat上下文對應的這3個應用都可以成為JSP網頁木馬的藏身之處）

（5）重要的系統還需要重新部署一下應用

因為有可能你的應用包中潛伏著JSP網頁木馬。請刪除目前主機上的應用包（或mv改個名字），然後將一份安全的應用包上傳到懷疑被攻擊的主機上，重新部署一下應用。

（6）檢查主機中其他位置是否有可疑檔案或程序

其他沒有10月份PSU補丁的版本（WLS 10.3.3 - 10.3.5，以及12.1.1、12.1.2、12.2.1.0）執行後面的5步操作即可。

另外，刪除每個WebLogicServer目錄下的tmp目錄的操作跟-Dweblogic.wsee.wstx.wsat.deployed=false（禁用wls-wsat功能）功效相似，但刪tmp目錄的操作還可以清除可疑的JSP網頁木馬。

延伸閱讀 

此次被利用的漏洞源自WebLogic自帶的一個wls-wsat.war應用包（Web Services Atomic Transactions元件），該元件存在RCE（遠端程式碼執行）漏洞，允許使用JDK自身的XMLDecoder進行反序列化漏洞攻擊，下載並執行比特幣的挖礦程式。

但Java XMLDecoder反序列化漏洞也並不是這兩年才出來，早在2013年就已經爆出來了，2015年爆出來的CVE-2015-4852也並不是唯一的反序列化漏洞。

Github上有一個專案Java-Deserialization-Cheat-Sheet（https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet），總結了幾乎所有的Java反序列化漏洞。

你可以從中找到被廣泛利用的commons-collection、XMLDecoder等Java反序列化漏洞，反序列化漏洞預防、檢測與修復工作的重要性越發凸顯了。

我們每個人都知道資料安全的重要，可是資料安全到底應該如何做起？

如果您希望快速瞭解您企業的資料庫是否存在眾多的安全漏洞或者安全風險，推薦您自助使用雲和恩墨的免費自動化巡檢工具：Bethune（白求恩），該工具為基於雲平臺的免費工具，在幫您檢查資料庫基本情況的同時，也內建安全方面的檢查，通過對資料庫安全補丁、訪問來源、訪問工具等維度的分析，幫助使用者快速梳理資料庫安全情況，讓您掌握第一手的資料庫安全諮詢。

在白求恩的智慧診斷平臺中，我們從點滴做起，幫助使用者發現安全問題，改善安全體驗。

從資料安全的各個緯度中，訪問安全處於重要的核心位置，而Oracle資料庫的監聽日誌就處於記錄訪問來源的重要崗位。白求恩 - Bethune 通過對於監聽日誌的發掘幫助使用者清晰展現資料庫的訪問來源，訪問應用等，提示安全風險，幫助使用者加強安全管控。

我們來看看白求恩的分析和展現。

白求恩首先會對訪問來源的IP根據權重進行視覺化展現，這個檢視可以自由縮放，以展示訪問來源的詳細狀況，可以幫助使用者發現可疑的訪問來源：

有了訪問來源，白求恩還可以分析訪問頻度，幫助使用者找到連線風暴的時點，以便通過優化規避和分散連線請求，在以下的圖例中，展示了一個連線風暴點，在這個位置，客戶的集中併發訪問甚至使得資料庫失去響應：

對於DBA來說，清楚的瞭解應用的訪問分佈，是必要的工作內容，也是瞭解和熟悉資料庫應用的起點。

有了監聽日誌，我們還可以清晰的展示訪問資料庫的應用型別和訪問源：

從訪問源中，如果發現未授權的IP地址，則應該引起高度的安全重視；

如過有未授權的應用，則更應該梳理和明確規範；

這是資料安全中最核心的要素之一。

在以下的資料中，顯示了來自不同地址的 plsqldev.exe 連線，這是必須要要明確定義訪問許可的高危應用：

在2016年下半年爆發的Oracle資料庫比特幣勒索事件中，plsqldev 正是感染的來源之一。Bethune 檢測這一風險並給出提示，以下提示顯示這個資料庫遭遇到了比特幣攻擊：

監聽器的日誌中，隱藏著豐富的資訊，提升資料庫的安全防範，可以由此作為一個起點，白求恩正是因應使用者的需求，豐富了這一個功能，幫助大家提高安全的警示和預防。

清清楚楚的分析，明明白白的展示，資料庫智慧診斷分析，盡在Bethune平臺！

Bethune官網：bethune.enmotech.com

如果你在使用Bethune的過程中，有任何疑問，可以在網站的反饋頁面直接回復或者通過白求恩小助手（微信 sunx5126 ）加入到Bethune使用者交流群，與白求恩使用者和專家交流討論。

當然，如果您的資料庫已經遭受攻擊和資料損失，您也不要擔心，立刻緊急聯絡雲和恩墨的服務團隊，我們將幫助您處理資料修復事宜。雲和恩墨久經考驗的ODU產品，可以在資料丟失後最大限度的恢復資料。

相關閱讀：