webservice漏洞修复及Cat病毒防御介绍

由于webservice服务存在默认密码漏洞，会被利用上传Cat.aar病毒文件。特写如下修改webservice默认密码修改操作步骤，及病毒介绍和应对病毒策略。

1.修改webservice默认密码

    默认情况下，webservice发布服务时会在tomcat的webapps目录下发布一个axis2目录。

以108服务器中axis2服务为例。

默认密码路径/usr/local/tomcat6/webapps/axis2/WEB-INF/conf/axis2.xml

修改axis2.xml

默认如下

   admin

   aixs2

修改默认用户名密码：

     jymf

    CMOLuPnBEi2jg5Ws

2.删除web上传病毒文件页面

    webservice的web页面在以下路径：

    /usr/local/tomcat6/webapps/axis2/axis2-web

删除如下界面，admin.jsp，Login.jsp，upload.jsp

注:修改后请一定重启tomcat使配置生效！！！！！！！！！！！！！

并且访问如下链接，查看页面是否还能访问，时候还有登陆界面，是否还能上传文件！！！！！

http://IP:8080/axis2/axis2-admin/

总结：面对危险，最好的防御就是对未知危险的预判，请提前按照上述操作，就不用看以下内容了！！！！！！！！！！

3.扩展描述webservice（Cat病毒）上传病特征：

3.1病毒产生文件描述：

    首先会通过webservice没有修改的用户名密码通过页面上传Car.aar文件。

    而后在webservice所在的tomcat下bin目录中生成syn病毒文件（此文件可执行）

    在/usr/bin/（或者/usr/sbin）目录中产生一个.ssh(病毒守护)

    在tomcat/bin/目录下产生两个.old文件

    在/tmp目录下生成两个.old文件

    可能在/root目录下生成syn病毒文件（文件可执行）

    可能在/tmp目录下生成syn病毒文件（文件可执行）

    可能在/dev/目录下生成syn 病毒文件（这个最狠）

    两个.old文件为syn病毒文件所产生的临时文件。只要syn运行就会在

/tmp中产生临时文件。

3.2病毒文件介绍

3.2.1 .ssh(病毒守护文件)介绍

    在/usr/bin/（或者/usr/sbin）目录中产生一个.ssh病毒守护文件，此文件特别隐蔽，在系统环境目录中，并且和系统服务ssh名称一样，(病毒守护为.ssh)

.ssh病毒守护程序负责守护syn病毒，如果syn病毒被杀掉或是tomcat/bin下的病毒源文件（被删除）就会马上从新生成syn病毒并且运行。

3.2.2 syn病毒文件介绍

    syn病毒文件为主要发作文件，会在系统中启动，并且会占用80端口外发UDP包，发作时网络直接瘫痪，内网所在网段全部网络阻塞。外网流量直接超过运营商网速限制，达到1000Mbps，与syn病毒服务器（即webservice服务器）互联的内网服务器业务全部中断。

3.3 病毒发作处理办法

3.3.1立即添加实时杀灭病毒脚本，脚本如下。

vi  monitor_syn.sh

#!/bin/sh

export JAVA_HOME=/usr/java/jdk1.7.0_65

export CLASSPATH=.:$JAVA_HOME/lib:$JAVA_HOME/jre/lib

export PATH=$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$PATH

while : ;do

 root=$(ls -l /root|grep 11月|grep -v 'shell'|awk '{print $9}')

 name=$(ls -l /tmp|grep -v 'hs*'|grep -v 'pu*'|grep -v 'orbit-gdm*'|grep -v 'zabbix_agentd.log'|grep 11月|awk '{print $9}')

 files=$(ls -l /usr/local/tomcat/bin/| grep -v '.sh'|grep -v 'logs'|grep 11月|awk '{print $9}')

killall $files

killall $name

killall $root

killall syn

killall .sshd

rm  -fr /usr/local/tomcat/webapps/axis2/WEB-INF/services/Cat.aar

  sleep 1

done

注：记得修改机器对应环境（PATH），对应病毒文件产生月份，和特别文件过滤。

启动守护 nohup ./ monitor_syn.sh &

3.3.2 删除上传的Cat.arr文件。

使用find / -name Cat.aar查找路径。

对应路径一一删除。

3.3.3病毒守护程序处理及病毒排查

    启动实时杀灭病毒脚本后，syn病毒就不会发作了，但病毒的后台还会运行。

如病毒没有变异，.ssh为病毒守护程序，已经在杀灭病毒脚本中一并杀掉。

删除tomcat/bin 下的syn病毒和两个.old文件后不会产生新的syn文件后，即可判定，病毒已经完全消灭。可以安心睡觉了，让实时杀灭病毒脚本多跑几天，观察下情况，如没有出现病毒，即可安心，可以停掉病毒杀灭脚本了。

    如病毒发生变异，请按照上述描述到对应的路径查找时候有特别的文件，如发现，请修改杀灭病毒的脚本中监测病毒名称。至于病毒的守护，只能使用ps -ef命令排查系统特殊进程了，再使用lsof -p 进程ID来分析进程文件了。

（如病毒发作先按照下面的处理办法处理病毒，记得最后按照最上面的方法修改用户名和上传页面）