0X01 问题描述

有小伙伴告诉我自从2019-06月开始，erpwiki 访问缓慢，我先查看了一下搬瓦工的kIwiWM 的控制面板的状态监控，发现如下图：

然后登陆到我的vps 使用top 命令检查情况如下图所示(下图是正常的)：

发现一个command 为星号 ，是真的星号，然后user 为confluence 的很多进程，command 命令都是随机拼接的七位字符串，其中那个command 为星号，占用CPU 能达到500%

当然 我六月份当时在搜索一下发现是一个三月份爆出来的confluence 远程执行楼栋，具体可以看这个链接。不过这个漏洞当时出来的时候一度让我对这个产品安全性产生怀疑，毕竟它家的jira+confluence服务那么多500强客户，不过好在大家都喜欢私有化部署，影响不算太广泛。

0X02 初步解决

我使用Google了一下网络上的解决方案，先查到的是国外的一个gitlab清除脚本，后来发现默安科技是有github上的代码，

https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool

虽然大家都说会改基本的curl 库 或者删除库 只能用busybox 但是我这边还好，直接运行之后即可。我发现我和其他人还不太一样，我运行完之后发现占用的进程依旧存在，该删除的一个没删，千万不要手欠自己删临时文件，否则后面confluence 启动不起来。

这里我们采用手工的方式批量kill 掉用户为confluence 的进程

# pgrep -u confluence | sudo xargs kill -9

然后重启一下即可，到这里病毒算是清理完成。

0X03 问题反思

基本上这事情就告一段落了，但是仔细反思，有如下几个问题：

1. 自己遇到问题没有深究，六月份的问题，到八月中旬才解决，中间清除病毒后，一直无法启动，没有干掉进程，导致病毒一直存在。
2. 没有做到企业级容灾备份，幸运的是，后来发现原来搬瓦工是提供了每三天和一周备份的功能（自动的），只需要导入到快照自动还原即可。问题是这次拖延比较久，备份几乎都失效了，唯一一次备份来源于2019-04-06的一次备份，因而以后要养成每周固定快照一次。

1. 对新功能的探索还有待加强，当时官方解决方案就是升级，然后国内中文文档其实并不多，所以一直没有去升级（当时在四月份想做一次升级，结果提示要做个什么 http—）https 又要搞个证书验证什么的）

0X04 亡羊补牢

后记：confluence 升级

网上文章介绍备份迁移倒是很常见，但是像我这种从6.7.2 升级到最新版本6.15.2 还是很少见的，基本上2019年四月份的升级狂潮都是由于confluence 带来的大规模漏洞导致。

我之所以要升级，很重要的原因是，下面这个方法不可以用：

widgetconnector-xxx.jar 3.1.4之前版本会出现这个问题, 从官方下载https://packages.atlassian.com/maven-public/com/atlassian/confluence/extra/widgetconnector/widgetconnector/3.1.4/widgetconnector-3.1.4.jar替换掉已有的相关包即可。

这会导致一个问题，你会发现你附件图片无法显示，如下图所示：

导致附件图片无法正常解析，这玩儿一看就很傻。。。所以升级势在必行，更何况还可以提供手机版本，并且一劳永逸修复漏洞。

网上各种攻略包括官方文档，都参照了类似不同服务器迁移升级的路数，实际上，你只需要完成如下几步动作即可：

1. 完成数据库文件和程序主文件备份，data 文件我备份足足有60G 如果你用的是VPS 不建议如此操作，因为我买的VPS 一共提供160G 大小磁盘。
2. 从官网下载最新版本的confluence 的bin版本，因为我是centos 所以只要下载这个可执行文件即可，别的zip 解压不用，因为你要直接运行安装升级的。

Wget confluence 下载网址

然后运行   Chmod+filename 777给予可执行权限

然后   ./ atlassian-confluence-6.15.7-x64.bin

最后蹦出一个提示问你是要安装呢 还是安装呢 还是升级呢？

当然是选择升级啦

然后会问你要不要备份，当然是选择不要啦 占用空间

1. 升级完成以后要注意，如果你不小心选择备份空间，那么会有大量空间被占用，没有空间是启动不了服务的。

以下给大家截一下 升级完成的confluence

还有手机版本：