近期各地各行業(yè)護網(wǎng)運動開展如火如荼�,各系統(tǒng)、中間件�����、數(shù)據(jù)庫�、開源軟件層面漏洞層出不窮,另相關(guān)的維護專業(yè)這苦不堪言。本文要講的就是與weblogic中間件近期不斷被曝出的T3協(xié)議�����、IIOP協(xié)議0day漏洞有關(guān)��。在護網(wǎng)期間����,官方補丁又未更新的情況下,能做的可能就是通過及時的禁用相關(guān)的協(xié)議�,以達(dá)到漏洞修復(fù)的目的,但是通常任務(wù)緊���、時間短、實例數(shù)量又眾多的情況下����,我們?nèi)绾慰焖俚淖龅綄嵗M行批量的處理呢,且看下文介紹���。
首先禁用IIOP協(xié)議��,需要在應(yīng)用側(cè)確認(rèn)反饋應(yīng)用未使用該協(xié)議的前提下�,才能進行禁用處理。
單臺或者少量實例�,處理方法很簡單,可以直接登陸控制臺�����,警用IIOP協(xié)議即可�,方法如下:
Weblogicconsole -> “服務(wù)”->”xxxServer”->”協(xié)議”,取消“啟用IIOP”的勾選,重啟服務(wù)即可���。
但是成百上千個實例�,一個個登陸console修改配置��,顯然不切實際��,那我們就需要使用批量方案了�����。批量禁用可以使用weblogic自帶的wlst工具����,通過腳本進行批量禁用,該方法腳本邏輯簡單清晰��,分享如下。
weblogic_iiop.sh:通過shell腳本去調(diào)用weblogicwlst���,執(zhí)行禁用的python腳本�����。
#!/bin/bash . $HOME/.bash_profile WLS_HOME="/weblogic/Oracle/Middleware/wlserver" echo [`date +%Y-%m-%d %H:%M:%S`]" =====[BEGIN]=========================" ${WLS_HOME}/common/bin/wlst.sh weblogic_iiop.py echo [`date +%Y-%m-%d %H:%M:%S`]" =====[END]===========================" |
weblogic_iiop.py:獲取配置文件中的weblogic控制臺賬號��、口令�,循環(huán)去禁用每一個實例的IIOP協(xié)議���。
cfg = open("./conf.cfg", "rb")
for line in cfg: auth = line.split(#) USERNAME = auth[0].strip() PASSWORD = auth[1].strip() ADMINURL = auth[2].strip()
print(-------------- + ADMINURL + -----------------------------------) size = len(auth) if size < 3 or USERNAME == "" or PASSWORD == "" or ADMINURL == "": continue
connect(USERNAME,PASSWORD,ADMINURL)
edit() cd(Servers) allSrvs=cmo.getServers() for srv in allSrvs: print(--------------startEdit--------------------------------) startEdit() srvName=srv.getName(); print(Now begin modify server: + srvName) cd(/Servers/ + srvName) ## true-開啟, false-關(guān)閉 cmo.setIIOPEnabled(false) save() activate() disconnect() exit() |
conf.cfg:目標(biāo)weblogic實例的控制臺賬號��、密碼
weblogic#weblogic!123#t3://IP1:port weblogic#weblogic!123#t3://IP2:port ….. |
如上����,只需將腳本部署到可以訪問目標(biāo)實例的服務(wù)器上�����,配置好conf.cfg配置文件��,就可以很輕松的解決IIOP協(xié)議批量禁用的問題了���,記得最后要重啟服務(wù)才能生效哦����。
首先禁用T3協(xié)議���,原理上其實是通過在weblogicconsole中添加T3協(xié)議訪問白名單的方式來控制T3協(xié)議訪問�����,禁止白名單以外的IP或網(wǎng)段來訪問服務(wù)��,以達(dá)到屏蔽漏洞的作用����。所以�����,在配置T3協(xié)議禁用之前����,需要應(yīng)用側(cè)梳理出需要使用T3協(xié)議訪問的IP或網(wǎng)段。單臺或者少量實例��,處理方法同樣簡單,可以直接登陸控制臺配置即可����,方法如下:
Weblogicconsole -> “domain”->”安全”->”篩選器”,在“連接篩選器規(guī)則”處�,配置規(guī)則即可。
但是成百上千個實例�,一個個登陸console修改配置,費時費力��,同樣的��,我們也有批量作業(yè)的方法����,分享如下:
run.sh:通過shell腳本去調(diào)用weblogicwlst,同時讀取weblogic控制臺賬號��、口令���,執(zhí)行禁用的python腳本����。
JAVA_HOME=/weblogic/jdk1.7.0_141 WLS_HOME=/weblogic/Oracle/Middleware/wlserver_10.3 FILENAME=conf.cfg cat $FILENAME | while read LINE do echo "----$LINE------" IP=`echo ${LINE} |awk -F"#" {print $1}` PORT=`echo ${LINE} |awk -F"#" {print $2}` USERNAME=`echo ${LINE} |awk -F"#" {print $3}` PASSWORD=`echo ${LINE} |awk -F"#" {print $4}` DOMAIN_NAME=`echo ${LINE} |awk -F"#" {print $5}` echo $DOMAIN_NAME
$WLS_HOME/common/bin/wlst.sh weblogic_filter.py $IP $PORT $USERNAME $PASSWORD $DOMAIN_NAME done |
conf.cfg:目標(biāo)weblogic實例的控制臺賬號���、密碼���、域名
IP#port#weblogic#weblogic!123#testdomain IP#prot#weblogic#weblogic!123#testdomain….. |
weblogic_filter.py:對每一個weblogicdomain去配置T3協(xié)議白名單。
# coding=utf-8 # FileName: weblogic_filter.py # Description: import time,re,os,sys
IP = sys.argv[1] print HOST_IP=,IP
PORT = sys.argv[2] print PORT=,PORT
USERNAME = sys.argv[3] print USERNAME=,USERNAME
PASSWORD = sys.argv[4] print PASSWORD=,PASSWORD
mydomain = sys.argv[5] mydomain = mydomain.rstrip() print DOMAIN_NAME=,mydomain
URL=t3://+IP+:+PORT connect(USERNAME,PASSWORD,URL) edit() startEdit() cd(/SecurityConfiguration/ + mydomain) cmo.setConnectionFilter(weblogic.security.net.ConnectionFilterImpl) set(ConnectionFilterRules,jarray.array([String(IP1+ * * allow t3 t3s), String(IP2+ * * allow t3 t3s), String(IP3+ * * allow t3 t3s), String(IP4+ * * allow t3 t3s), String(0.0.0.0/0 * * deny t3 t3s)], String)) save() activate() |
如上�,python腳本中,在set(ConnectionFilterRules,jarray.array([String(IP1+ * * allow t3 t3s), String(IP2+ * * allow t3 t3s)],String))中添加需要配置的白名單配置規(guī)則即可�����。顯然然��,這里筆者這里是偷懶了��,有興趣的朋友�,可以將規(guī)則也配置到配置文件中去,那么腳本即可通用了����,只需要修改配置文件即可,使用起來會更靈活���。最后��,只需將腳本部署到可以訪問目標(biāo)實例的服務(wù)器上�,配置好conf.cfg配置文件,就可以很輕松的解決T3協(xié)議禁用的問題�。
以上提供的方法,需要注意的是相關(guān)的腳本中的一些JDK版本及路徑��、WLS_HOME路徑是需要根據(jù)實際情況進行修改的���。如果再結(jié)合相關(guān)自動化產(chǎn)品將對應(yīng)的場景進行任務(wù)編排����,通過產(chǎn)品去將調(diào)用批量作業(yè)腳本����、服務(wù)重啟等操作編排到一個任務(wù)里面去,實現(xiàn)自動化調(diào)度����,白屏操作,這將是一個不錯的運維場景���。
