系统描述

Rhe hacmp jboss

这里不便详细

中毒现象

1. 网络出现拥塞，访问延迟增加，爆满导致集团60万链接被占满。 2. 系统定时任务表中出现异常的定时任务，为sysdba，为每月10号或者24号1点1分1秒启动。 3. 出现异常进程。 4. $JBOSS_HOME/bin或/root目录下出现大量的异常文件。 现象分析 　　这是最近网上流行的一种蠕虫病毒，它利用Jboss中间件程序的jxm-console与web-console默认帐户漏洞进行攻击，感染linux服务器，成为僵尸代理。 1. 出现网络拥塞的原因是该蠕虫病毒利用名为pnscan工具不断执行端口扫描。发出大量的请求包，占用网络带宽。 www.2cto.com 2. 在系统定时任务表中可查看到名为如下的异常定时任务（有时候只有其中2个）。 crontab –l

[root@！@……% /]# crontab -l
1 1 10 * * ~/.sysdbs
1 1 24 * * perl ~/.sysync.pl
1 1 24 * * perl ~/.sysync.pl
1 1 10 * * ~/.sysdbs

.sysync.pl与.sysdbs都是隐藏文件，可以通过ls –la列表查看到。

3. 查看进程，可以检查到以下异常进程

有些服务器上还可以看到一些javas的异常进程，请确认这些javas进程，是否应用程序调用的java。 4. 在$JBOSS_HOME/bin或/root目录下出现大量如下异常文件 ls 其中某个压缩文件（kisses.tar.gz参考文章中的病毒）就是病毒源码安装包，安装后生成以上文件。 解决方法

第一步：查杀病毒

Killall -9 javas

Killall -9 pns

Killall -9 perl

cd /root　或 cd $JBOSS_HOME/bin

rm –rf bm*

rm –rf *.pl

rm –rf treat.sh

rm –rf install-sh

rm –rf version*

rm –rf kisses*

rm –rf pns*

rm –rf Makefile

rm –rf ipsort

rm –rf kisses*

rm –rf .sysdbs

rm –rf .sysync.pl

crontab –e

1 1 10 * * ~/.sysdbs

1 1 24 * * perl ~/.sysync.pl

1 1 24 * * perl ~/.sysync.pl

1 1 10 * * ~/.sysdbs

[root@ESCMDZSW01 bin]# crontab -l
#1 1 10 * * ~/.sysdbs
#1 1 24 * * perl ~/.sysync.pl
#1 1 24 * * perl ~/.sysync.pl
#1 1 10 * * ~/.sysdbs
[root@ESCMDZSW01 bin]# 

删除掉这几行 service crond stop

第二步：Jboss安全加固，修改jmx-console与web-console的默认口令

JMX安全配置：

把GET和POST两行注释掉，同时security-constraint整个部分不要注释掉。

把security-domain注释去掉

修改admin密码

WEB-CONSOLE安全加固

修改方法与JMX安全加固一样。

第三部：测试

完成Jboss的安全加固后做http访问测试，看能否正常显示验证窗口，输入设置的用户名口令后能否正常访问。 http://xxx.xxx.xxx.xxx/web-console
http://xxx.xxx.xxx.xxx/jmx-conslole

附录：针对Jboss漏洞攻击的建议

对于病毒攻击一般还是以预防为主，一旦发现服务器已经中毒解决起来相关棘手。为了更有效的预防此类病毒攻击，提供以下建议： 1. Jboss应用程序应运行在非root用户下，防止病毒获得超级用户权限，修改root口令，控制服务器。 2. 为Jboss控制台启用验证，修改默认口令，口令要具有一定的复杂度。如果不需要，甚至可以关闭管理端口和相关统计信息，删除Jboss主目录和文件。 3. 将Jboss升级到最新版本，尤其是老板本的Jboss的本身漏洞较多，新版本的Jboss安全性较高。 4. WEB应用与接收器分离，如可以通过Apache与Jboss整合的方式实现，这样做一方面更安全，另一方面更适合高并发流量的访问。 更多0