頻道欄目
首頁 > 資訊 > 系統安全 > 正文

Jboss漏洞導致linux服務器中毒解決辦法

12-02-26        來源:[db:作者]  
收藏   我要投稿

中毒現象

1. 網絡出現擁塞,訪問延遲增加。
2. 系統定時任務表中出現異常的定時任務。
3. 出現異常進程。
4. $JBOSS_HOME/bin或/root目錄下出現大量的異常文件。
 
 
現象分析
  這是最近網上流行的一種蠕蟲病毒,它利用Jboss中間件程序的jxm-console與web-console默認帳戶漏洞進行攻擊,感染linux服務器,成為僵尸代理。
1. 出現網絡擁塞的原因是該蠕蟲病毒利用名為pnscan工具不斷執行端口掃描。發出大量的請求包,占用網絡帶寬。 www.kaosanakqu.com
2. 在系統定時任務表中可查看到名為如下的異常定時任務(有時候只有其中2個)。
crontab –l

.sysync.pl與.sysdbs都是隱藏文件,可以通過ls –la列表查看到。

3. 查看進程,可以檢查到以下異常進程

有些服務器上還可以看到一些javas的異常進程,請確認這些javas進程,是否應用程序調用的java。
4. 在$JBOSS_HOME/bin或/root目錄下出現大量如下異常文件

其中kisses.tar.gz就是病毒源碼安裝包,安裝后生成以上文件。
 
解決方法
 
步一:查殺病毒 www.kaosanakqu.com
Killall -9 javas
Killall -9 pns
Killall -9 perl
 
cd /root 或 cd $JBOSS_HOME/bin
rm –rf bm*
rm –rf *.pl
rm –rf treat.sh
rm –rf install-sh
rm –rf version*
rm –rf kisses*
rm –rf pns*
rm –rf Makefile
rm –rf ipsort
rm –rf kisses*
rm –rf .sysdbs
rm –rf .sysync.pl
 
crontab –e
1 1 10 * * ~/.sysdbs
1 1 24 * * perl ~/.sysync.pl
1 1 24 * * perl ~/.sysync.pl
1 1 10 * * ~/.sysdbs
刪除掉這幾行
service crond stop
 
步二:Jboss安全加固,修改jmx-console與web-console的默認口令
 
JMX安全配置:
 
把GET和POST兩行注釋掉,同時security-constraint整個部分不要注釋掉。

把security-domain注釋去掉

修改admin密碼

WEB-CONSOLE安全加固

 
修改方法與JMX安全加固一樣。
 
 
步三:測試
完成Jboss的安全加固后做http訪問測試,看能否正常顯示驗證窗口,輸入設置的用戶名口令后能否正常訪問。
http://xxx.xxx.xxx.xxx/web-console
http://xxx.xxx.xxx.xxx/jmx-conslole
 
 
針對Jboss漏洞攻擊的建議
  對于病毒攻擊一般還是以預防為主,一旦發現服務器已經中毒解決起來相關棘手。為了更有效的預防此類病毒攻擊,提供以下建議:
1. Jboss應用程序應運行在非root用戶下,防止病毒獲得超級用戶權限,修改root口令,控制服務器。
2. 為Jboss控制臺啟用驗證,修改默認口令,口令要具有一定的復雜度。如果不需要,甚至可以關閉管理端口和相關統計信息,刪除Jboss主目錄和文件。
3. 將Jboss升級到最新版本,尤其是老板本的Jboss的本身漏洞較多,新版本的Jboss安全性較高。
4. WEB應用與接收器分離,如可以通過Apache與Jboss整合的方式實現,這樣做一方面更安全,另一方面更適合高并發流量的訪問。


摘自 清風拂面的BLOG
相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

美女MM131爽爽爽毛片