jboss漏洞导致服务器中毒

时间:2022-08-31 13:28:09
中毒现象
1. 网络出现拥塞,访问延迟增加。
2. 系统定时任务表中出现异常的定时任务。
3. 出现异常进程。
4. $JBOSS_HOME/bin或/root目录下出现大量的异常文件。
 
 
现象分析
  这是最近网上流行的一种蠕虫病毒,它利用Jboss中间件程序的jxm-console与web-console默认帐户漏洞进行攻击,感染linux服务器,成为僵尸代理。
1. 出现网络拥塞的原因是该蠕虫病毒利用名为pnscan工具不断执行端口扫描。发出大量的请求包,占用网络带宽。 www.2cto.com
2. 在系统定时任务表中可查看到名为如下的异常定时任务(有时候只有其中2个)。
crontab –l

jboss漏洞导致服务器中毒

.sysync.pl与.sysdbs都是隐藏文件,可以通过ls –la列表查看到。

3. 查看进程,可以检查到以下异常进程

jboss漏洞导致服务器中毒

有些服务器上还可以看到一些javas的异常进程,请确认这些javas进程,是否应用程序调用的java。
4. 在$JBOSS_HOME/bin或/root目录下出现大量如下异常文件

jboss漏洞导致服务器中毒

其中kisses.tar.gz就是病毒源码安装包,安装后生成以上文件。
 
解决方法
 
步一:查杀病毒 www.2cto.com
Killall -9 javas
Killall -9 pns
Killall -9 perl
 
cd /root 或 cd $JBOSS_HOME/bin
rm –rf bm*
rm –rf *.pl
rm –rf treat.sh
rm –rf install-sh
rm –rf version*
rm –rf kisses*
rm –rf pns*
rm –rf Makefile
rm –rf ipsort
rm –rf kisses*
rm –rf .sysdbs
rm –rf .sysync.pl
 
crontab –e
1 1 10 * * ~/.sysdbs
1 1 24 * * perl ~/.sysync.pl
1 1 24 * * perl ~/.sysync.pl
1 1 10 * * ~/.sysdbs
删除掉这几行
service crond stop
 
步二:Jboss安全加固,修改jmx-console与web-console的默认口令
 
JMX安全配置:
 
把GET和POST两行注释掉,同时security-constraint整个部分不要注释掉。

jboss漏洞导致服务器中毒

把security-domain注释去掉

jboss漏洞导致服务器中毒

修改admin密码

jboss漏洞导致服务器中毒

WEB-CONSOLE安全加固

jboss漏洞导致服务器中毒

 
修改方法与JMX安全加固一样。
 
 
步三:测试
完成Jboss的安全加固后做http访问测试,看能否正常显示验证窗口,输入设置的用户名口令后能否正常访问。

http://xxx.xxx.xxx.xxx/web-console
http://xxx.xxx.xxx.xxx/jmx-conslole

 
 
针对Jboss漏洞攻击的建议
  对于病毒攻击一般还是以预防为主,一旦发现服务器已经中毒解决起来相关棘手。为了更有效的预防此类病毒攻击,提供以下建议:
1. Jboss应用程序应运行在非root用户下,防止病毒获得超级用户权限,修改root口令,控制服务器。
2. 为Jboss控制台启用验证,修改默认口令,口令要具有一定的复杂度。如果不需要,甚至可以关闭管理端口和相关统计信息,删除Jboss主目录和文件。
3. 将Jboss升级到最新版本,尤其是老板本的Jboss的本身漏洞较多,新版本的Jboss安全性较高。
4. WEB应用与接收器分离,如可以通过Apache与Jboss整合的方式实现,这样做一方面更安全,另一方面更适合高并发流量的访问。

jboss漏洞导致服务器中毒的更多相关文章

  1. 由于Redis漏洞导致服务器被黑

    原文地址 漏洞描述 Redis默认情况下,会绑定在0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Re ...

  2. Redis3未授权访问漏洞导致服务器被入侵

    今天在腾讯云上搭的开发环境里的一台机器cpu load飚升老高,然后还能登陆上去,top后发现两个可疑进程./root/目录下有修改过的文件./opt目录被干掉了, 后经分析,这台机器上有redis外 ...

  3. ecshop SQL注入漏洞导致代码执行

    漏洞名称:ecshop SQL注入漏洞导致代码执行补丁编号:11208761补丁文件:/includes/libinsert.php补丁来源:云盾自研漏洞描述:ecshop的/includes/lib ...

  4. php-cgi占用太多cpu资源而导致服务器响应过慢

    服务器环境:redhat linux 5.5 , nginx ,  phpfastcgi 在此环境下,一般php-cgi运行是非常稳定的,但也遇到过php-cgi占用太多cpu资源而导致服务器响应过慢 ...

  5. 云服务器 linux文件系统异常an error occurren during the file system check导致服务器启动失败

    云服务器 linux文件系统异常an error occurren during the file system check导致服务器启动失败 文件系统宕机,重启后报错,无法启动 处理流程: 1.编辑 ...

  6. 系统导出数据到excel,数据量过大(大约10W)条,导致服务器 cpu 100%解决方法

    系统导出数据到excel,数据量过大(大约10W)条,导致服务器 cpu 100%解决方法

  7. redis配置错误导致服务器不能启动

    redis-server忘了把配置里面的daemonize的no改成yes所以把redis-server加入到了/etc/rc.local里面,在服务器启动的时候就会阻塞在这里,导致服务器不能启动.[ ...

  8. 由奇葩cookie导致服务器500来认识cookie

    问题:cookie中文会导致服务器报500错误. 一:cookie的特点 1.以键值对的形式出现的,比如:a=b;b=c 2.中文的值需要转义 cookie的例子 <!DOCTYPE html& ...

  9. 通常每个套接字地址&lpar;协议&sol;网络地址&sol;端口&rpar;只允许使用一次。 数据库连接不释放测试 连接池 释放连接 关闭连接 有关 redis-py 连接池会导致服务器产生大量 CLOSE&lowbar;WAIT 的再讨论以及一个解决方案

    import pymysqlfrom redis import Redisimport time h, pt, u, p, db = '192.168.2.210', 3306, 'root', 'n ...

随机推荐

  1. optparse

    Python 有两个内建的模块用于处理命令行参数: 一个是 getopt,<Deep in python>一书中也有提到,只能简单处理 命令行参数: 另一个是 optparse,它功能强大 ...

  2. 十一个行为模式之策略模式&lpar;Strategy Pattern&rpar;

    定义: 定义一系列的算法,将每一个算法封装起来,并使它们之间可以相互替换,让算法具有可扩展性和对立性. 结构图: Context:环境类,算法的使用者.对外提供了算法使用的接口,并且持有一个抽象算法类 ...

  3. java实现文件上传--flash上传

    1.http请求的头信息是“application/octet-stream”,request body 是二进制的flash图片流 2.把流中的信息读入到文件中 代码如下,代码分三个部分: ---- ...

  4. minicom的安装及使用

    1.下载 sudo apt-get install minicom 2.运行 sudo minicom -s 3.修改端口 首先查看端口:ls /dev/tty...

  5. lookup:ID列

    对lookup列对应的ID列的引用的写法 if (item["NavType_x003a_ID"].ToString() == type["ID"].ToStr ...

  6. 王爽汇编习题2&period;2&lpar;1&rpar;:给定地址段为0001H,仅通过变化偏移地址寻址,CPU的寻址范围为&lowbar;&lowbar;&lowbar;&lowbar;到&lowbar;&lowbar;&lowbar;&lowbar;

    此题解题背景默认为8080型CPU,地址总线为16根.(8080-16,8086-20,8088-20,80286-24,80386-32) 16根地址总线寻址能力:(2 ** 16) / 1024 ...

  7. Learning ROS for Robotics Programming Second Edition学习笔记&lpar;三&rpar; indigo rplidar rviz slam

    中文译著已经出版,详情请参考:http://blog.csdn.net/ZhangRelay/article/category/6506865 Learning ROS for Robotics Pr ...

  8. Scrum Meeting NO&period;8

    Scrum Meeting No.8 1.会议内容 2.任务清单 徐越 序号 近期的任务 进行中 已完成 1 代码重构:前端通讯模块改为HttpClient+Json √ 2 添加对cookies的支 ...

  9. consul搭建(初步)

    http://www.cnblogs.com/java-zhao/p/5375132.html https://blog.csdn.net/u010246789/article/details/517 ...

  10. 洛谷P1991 无线通讯网

    P1991 无线通讯网 170通过 539提交 题目提供者洛谷OnlineJudge 标签图论 难度普及+/提高 提交该题 讨论 题解 记录 最新讨论 怎么又炸了 为啥一直40!求解! UKE:inv ...

相关文章