频道栏目
首页 > 安全 > 系统安全 > 正文

Jboss漏洞导致linux服务器中毒解决办法

2012-02-26 10:28:00      个评论      
收藏   我要投稿

中毒现象

1. 网络出现拥塞,访问延迟增加。

2. 系统定时任务表中出现异常的定时任务。

3. 出现异常进程。

4. $JBOSS_HOME/bin或/root目录下出现大量的异常文件。

 

 

现象分析

  这是最近网上流行的一种蠕虫病毒,它利用Jboss中间件程序的jxm-console与web-console默认帐户漏洞进行攻击,感染linux服务器,成为僵尸代理。

1. 出现网络拥塞的原因是该蠕虫病毒利用名为pnscan工具不断执行端口扫描。发出大量的请求包,占用网络带宽。 www.2cto.com

2. 在系统定时任务表中可查看到名为如下的异常定时任务(有时候只有其中2个)。

crontab –l

\

.sysync.pl与.sysdbs都是隐藏文件,可以通过ls –la列表查看到。

3. 查看进程,可以检查到以下异常进程

\

有些服务器上还可以看到一些javas的异常进程,请确认这些javas进程,是否应用程序调用的java。

4. 在$JBOSS_HOME/bin或/root目录下出现大量如下异常文件

\

其中kisses.tar.gz就是病毒源码安装包,安装后生成以上文件。

 

解决方法

 

步一:查杀病毒 www.2cto.com

Killall -9 javas

Killall -9 pns

Killall -9 perl

 

cd /root 或 cd $JBOSS_HOME/bin

rm –rf bm*

rm –rf *.pl

rm –rf treat.sh

rm –rf install-sh

rm –rf version*

rm –rf kisses*

rm –rf pns*

rm –rf Makefile

rm –rf ipsort

rm –rf kisses*

rm –rf .sysdbs

rm –rf .sysync.pl

 

crontab –e

1 1 10 * * ~/.sysdbs

1 1 24 * * perl ~/.sysync.pl

1 1 24 * * perl ~/.sysync.pl

1 1 10 * * ~/.sysdbs

删除掉这几行

service crond stop

 

步二:Jboss安全加固,修改jmx-console与web-console的默认口令

 

JMX安全配置:

 

把GET和POST两行注释掉,同时security-constraint整个部分不要注释掉。

\

把security-domain注释去掉

\

修改admin密码

\

WEB-CONSOLE安全加固

\

 

修改方法与JMX安全加固一样。

 

 

步三:测试

完成Jboss的安全加固后做http访问测试,看能否正常显示验证窗口,输入设置的用户名口令后能否正常访问。

http://xxx.xxx.xxx.xxx/web-console
http://xxx.xxx.xxx.xxx/jmx-conslole

 

 

针对Jboss漏洞攻击的建议

  对于病毒攻击一般还是以预防为主,一旦发现服务器已经中毒解决起来相关棘手。为了更有效的预防此类病毒攻击,提供以下建议:

1. Jboss应用程序应运行在非root用户下,防止病毒获得超级用户权限,修改root口令,控制服务器。

2. 为Jboss控制台启用验证,修改默认口令,口令要具有一定的复杂度。如果不需要,甚至可以关闭管理端口和相关统计信息,删除Jboss主目录和文件。

3. 将Jboss升级到最新版本,尤其是老板本的Jboss的本身漏洞较多,新版本的Jboss安全性较高。

4. WEB应用与接收器分离,如可以通过Apache与Jboss整合的方式实现,这样做一方面更安全,另一方面更适合高并发流量的访问。


摘自 清风拂面的BLOG

相关TAG标签 漏洞 办法 服务器
上一篇:小记一次渗透过程:一台工作站后面的大型内网
下一篇:CVE-2012-0150 补丁对比分析
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站