weblogic

译者：知道创宇404实验室翻译组 原文链接： https://www.intezer.com/blog/research/new-golang-worm-drops-xmrig-miner-on-servers/ 介绍 12月初，我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。 该蠕虫试图在网络中传播，以便大规模运行XMRig Miner。恶意软件同时针对Windows和Linux服务器，可以轻松地从一个平台转移到另一个平台。它的目标是面向公众的服务：密码较弱的MySQL、Tomcat管理面板和Jenkins。在较旧的版本中，该蠕虫还尝试利用WebLogic的最新漏洞：CVE-2020-14882。 在我们的分析过程中，攻击者不断更新C&C服务器上的蠕虫。这表明该蠕虫处于活跃状态，并且可能在将来的更新中针对其他弱配置的服务。 技术分析 该攻击使用三个文件：一个dropper脚本（bash或powershell）、一个Golang二进制蠕虫和一个XMRig Miner，所有这些文件都托管在同一C&C上。 目前，还未检测到ELF蠕虫二进制文件和bash dropper脚本。 图1显示了VirusTotal中的ELF蠕虫二进制检测结果。 图1：在VirusTotal

java线程 同步与异步 线程池 1）多线程并发时，多个线程同时请求同一个资源，必然导致此资源的数据不安全，A线程修改了B线 程的处理的数据，而B线程又修改了A线程处理的数理。显然这是由于全局资源造成的，有时为了解 决此问题，优先考虑使用局部变量，退而求其次使用同步代码块，出于这样的安全考虑就必须牺牲 系统处理性能，加在多线程并发时资源挣夺最激烈的地方，这就实现了线程的同步机制 同步：A线程要请求某个资源，但是此资源正在被B线程使用中，因为同步机制存在，A线程请求 不到，怎么办，A线程只能等待下去 异步：A线程要请求某个资源，但是此资源正在被B线程使用中，因为没有同步机制存在，A线程 仍然请求的到，A线程无需等待 显然，同步最最安全，最保险的。而异步不安全，容易导致死锁，这样一个线程死掉就会导致整个 进程崩溃，但没有同步机制的存在，性能会有所提升 java中实现多线程 1）继承Thread,重写里面的run方法 2）实现runnable接口 Doug Lea比较推荐后者，第一，java没有单继承的限制第二，还可以隔离代码 线程池 要知道在计算机中任何资源的创建，包括线程，都需要消耗系统资源的。在WEB服务中，对于web服 务器的响应速度必须要尽可能的快，这就容不得每次在用户提交请求按钮后，再创建线程提供服务 。为了减少用户的等待时间，线程必须预先创建，放在线程池中

Servlet 是 Server Applet 的缩写，是服务端小程序的意思。使用 Java 语言编写的服务器端程序，主要功能在于交互式地浏览和生成数据，生成动态Web内容，Servlet 主要运行在服务器端，并由服务器调用执行，是一种按照 Servlet 标准来开发的类。 是 SUN 公司提供的一门用于开发动态 Web 资源的技术。（言外之意：要实现 web 开发，需要实现 Servlet 标准）   Servlet 本质上也是 Java 类，但要遵循 Servlet 规范进行编写，没有 main() 方法，它的创建、使用、销毁都由 Servlet 容器进行管理(如 Tomcat)。（言外之意：写自己的类，不用写 main 方法，别人自动调用）   Servlet 是和 HTTP 协议是紧密联系的，其可以处理 HTTP 协议相关的所有内容。这也是 Servlet 应用广泛的原因之一。   提供了 Servlet 功能的服务器，叫做 Servlet 容器，其常见容器有很多，如 Tomcat, Jetty, WebLogic Server, WebSphere, JBoss 等等。 Servlet实现方式 创建动态 web 项目 新建类 实现 Servlet 规范 重写 service 方法 配置 web.xml 发布项目 启动项目 访问并查看结果 案例实操 1）创建动态 web

一、总结前一天的学习 在前两天的学习中我们知道、了解并掌握了Web Server结合App Server实现单向Https的这样的一个架构。这个架构是一个非常基础的J2ee工程上线布署时的一种架构。在前两天的教程中，还讲述了Http服务 器、App Server的最基本安全配置（包括单向https的实现）， 它只是避免了用户可以通过浏览器侵入我们的Web访问器或者能够通过Web浏览器来查询我们的Web目录结构及其目录内的文件与相关内容，这种入侵我们把 它称为： Directory traversal，当然我们只是实现了最基本的防范Directory traversal的手段，在日后的Security课程中将会详细地去擅述完整的Web Security的相关理论。 从今天起我们将继续在原有的这种Apache+Tomat的架构上，去论述如何在性能及Performance上优化这个架构，因此这两天的课程在有些人看来，可能会有些“枯燥”，所以我在此给大家打个招呼： 这 两天的课程论述的是如何在不改动代码与SQL语句的前提下，如何去改善和提高web server与app server的性能，千万不要小觑这一内容，它可以让你在不改动代码的情况下得到10-20倍以上的性能提高，网上有其它的大牛们写过一篇文章叫 “Tomcat如何支持到1000个用户”，经本人经过几个重大工程的实践

weblogic 部署问题定位与解决 参考文章： （1）weblogic 部署问题定位与解决 （2）https://www.cnblogs.com/java-class/p/7110266.html 备忘一下。 来源： oschina 链接： https://my.oschina.net/u/4438370/blog/4819797

　　我们经常在linux要查找某个文件，但不知道放在哪里了，可以使用下面的一些命令来搜索。这些是从网上找到的资料，因为有时很长时间不会用到，当要用的时候经常弄混了。 　　which 查看可执行文件的位置 　　whereis 查看文件的位置 　　locate 配 合数据库查看文件位置 　　find 实际搜寻硬盘查询文件名称 　　1、which 　　语法： 　　[root@redhat ~]# which 可执行文件名称 　　例如： 　　[root@redhat ~]# which passwd 　　/usr/bin/passwd 　　which是通过 PATH环境变量到该路径内查找可执行文件，所以基本的功能是寻找可执行文件 　　2、whereis 　　语法： 　　[root@redhat ~]# whereis [-bmsu] 文件或者目录名称 　　参数说 明： 　　-b ： 只找二进制文件 　　-m： 只找在说明文件manual路径下的文件 　　-s ： 只找source源文件 　　-u ： 没有说明文档的文件 　　例如： 　　[root@redhat ~]# whereis passwd 　　passwd: /usr/bin/passwd /etc/passwd /usr/share/man/man1/passwd.1.gz /usr/share/man/man5/passwd

报告编号：B6-2020-110201 报告来源：360CERT 报告作者：360CERT 更新日期：2020-11-02 0x01 漏洞简述 2020年11月02日，360CERT监测发现 Shiro 发布了 Shiro 验证绕过漏洞 的风险通告，该漏洞编号为 CVE-2020-17510 ，漏洞等级： 高危 ，漏洞评分： 7.5 。 在使用 Apache Shiro 与 Spring 时，远程攻击者可以发送特制的HTTP请求，绕过身份验证过程并获得对应用程序的未授权访问。 对此，360CERT建议广大用户及时将 Shiro 升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。 0x02 风险等级 360CERT对该漏洞的评定结果如下 评定方式 等级 威胁等级 高危 影响面 一般 360CERT评分 7.5 0x03 漏洞详情 CVE-2020-17510: 验证绕过漏洞 Apache Shiro 是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码和会话管理。 由于 Shiro 在处理 url 时与 Spring 存在差异，在使用 Apache Shiro 与 Spring 时，远程攻击者可以发送特制的HTTP请求，绕过身份验证过程并获得对应用程序的未授权访问。 0x04 影响版本 - Apache:Shiro : < 1.7.0 0x05

first : 从 http://www.oracle.com/technetwork/middleware/ias/downloads/wls-main-097127.html 下载 对应的是weblogic 版本，我下载的10.3.6 的版本。 下载完之后，一路安装，当提示选择路径的时候，建议安装到不带空格目录中间去，其他跟着next 走就可以了。没有任何特别之处。 second： weblogic 都是在域名下domains(mydomain)下工作，建立自己域名工程目录，在mydomai bin 目录下面 找到 在 文件 setDomainEnv.cmd 设置 set debugFlag= true 然后启动目录下的startWeblogic third： 在eclipse 配置： 主要远程调试代理选择自己要调试自己工程，当然在调试之前，首先要把自己工程部署到webloigc 上域名mydomain 上，最后 点击debug 调试代码:比如我访问的rest url: 效果是： 对习惯tomcat jetty 开发环境的人是笨重了些，当然，如果有更好的方式，我也乐得喜欢。 来源： oschina 链接： https://my.oschina.net/u/2873957/blog/726868

云计算的定义 对云计算的定义有很多方式，其实每种定义都能反映云计算的一些特点，比较常见的定义如下： 美国国家标准与技术研究院（NIST）：云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问，进入可配置的计算资源共享池（资源包括网络、服务、存储、应用软件、服务），这些资源能够快被快速提供，只需投入很少的管理工作，或与服务进行很少的交互。 刘鹏教授对云计算给出了长、短两种定义： 长定义是：云计算是一种商业计算模型。它将计算任务分布在大量计算机构成的资源池上，使各种应用系统能够根据需要获取计算力、存储空间和信息服务。 短定义是：云计算是通过网络按需提供可动态伸缩的廉价计算服务 云计算的特点 并行计算(Parallel Computing)、 分布式计算(Distributed Computing) 网格计算(Grid Computing) 虚拟化(Virtualization) 效用计算(Utility Computing) 将基础设施作为服务IaaS(Infrastructureas a Service)： 消费者通过internet可以从完善的的计算机基础设施获取服务（硬件服务器租用） 将平台作为服务PaaS(Platform as a Service) ：软件的个性化定制开发 将软件作为服务SaaS(Software as a Service)