新漏洞刚被发现发布时,对很多企业网络来说可能是最危险的时刻,应对不及时而造成的危害可能是巨大的,特别是像Struts2 S2-045这样会搞死人的漏洞,显然黑客对他们的关注度比很多企业的安管人员要高的多。这不Struts2 S2-045漏洞没公布几天,我们就发现了成功利用该漏洞对目标主机实现有效控制的高级攻击实例。
首先说明,我们不是分析Struts2 S2-045漏洞,很偶然,某中国500强企业集团公司的互联网出口防火墙CPU利用率持续保持在80%左右,防火墙高负载工作导致服务器网络缓慢。由于该服务器上承载着大量公司核心业务,造成了严重影响。
幸运的是他们的核心交换机上部署了科来网络回溯分析系统,进行7*24小时全流量监控,并完整记录保存了所有网络通讯数据(其工作模式可以简单理解为部署在大型网络环境中的“行车记录仪”)。技术人员首先想到的是通过该系统分析什么原因导致了防火墙CPU利用率超高,网络缓慢。
分析发现防火墙高负载与*.35服务器超常规大量发送数据包有关,服务器*.35一天多的时间共产生大量未知TCP应用流量47.48G,其中与意大利IP62.149.175.81通讯流量达到44.21GB,行为极为可疑。
…