记一次WebLogic中病毒事件

Posted 2020-10-22

  这些天被一个病毒搞得不知道所错，但是现在找到了病毒的所在，回过头来看，感觉一开始自己的切入点不正确，耗费了两天的时间来查杀排除。

  现象：公司在半年前在单台服务器上部署了Weblogic服务，一直很稳定的，就在前两天，手机接到此台服务器的CPU到了80%以上，连接服务器查看有一个明显的进程占用CPU特别高，而且有一个很菜的名字叫“.abc2”

  心想，把你kill掉试试，然后就执行了kill -9 6432命令，然后这个进程确实不在了，紧接着测试那边就说不正常，重新启动一个服务吧，又来短信CPU超高，太流氓了吧，用top命令查看，不出所料，还是这个low病毒，接着我用pstree看它有没有父进程，find查看有没有.abc2这个文件，删除了之后没什么蛋用。再去看看数据库有没有影响，哎呦草，登不上去了。。。。，有些慌了。赶紧的上报，居然给出的答案是重新安装Weblogic，那就卸载了重新安装(大家注意，我重新安装了)，意外的是启动服务，那个进程还是出现。既然你跟着weblogic启动，那我查看一下启动脚本看看有没有什么发现。

  没有什么异常的代码，但是这个启动脚本是包含很多其它脚本程序的，比如环境变量（画框的），那我再去环境变量的里面查看一下吧

这是什么鬼，你大爷的！！！ 最终吧bin下面的.XX文件全删除了，问题貌似是解决了。

  但是现在想，这些病毒文件是怎么来的呢？关键我重新安装了weblogic服务的，而且这个安装包在六个月前安装前没有问题，我自己怀疑是开发那边给的程序更新包有问题，还没有细致的去排查。我的服务器设置的是通过秘钥登录的，别的地方也不能登录，端口该关闭的也关闭了，哪位有这方面的排查思路也请留言指教一下，谢谢！！！