Jboss漏洞导致linux服务器中毒解决办法
2012-02-23 13:42
232 查看
中毒现象
1. 网络出现拥塞,访问延迟增加。
2. 系统定时任务表中出现异常的定时任务。
3. 出现异常进程。
4. $JBOSS_HOME/bin或/root目录下出现大量的异常文件。
现象分析
这是最近网上流行的一种蠕虫病毒,它利用Jboss中间件程序的jxm-console与web-console默认帐户漏洞进行攻击,感染linux服务器,成为僵尸代理。
1. 出现网络拥塞的原因是该蠕虫病毒利用名为pnscan工具不断执行端口扫描。发出大量的请求包,占用网络带宽。
2. 在系统定时任务表中可查看到名为如下的异常定时任务(有时候只有其中2个)。
crontab –l
.sysync.pl与.sysdbs都是隐藏文件,可以通过ls –la列表查看到。
3. 查看进程,可以检查到以下异常进程
有些服务器上还可以看到一些javas的异常进程,请确认这些javas进程,是否应用程序调用的java。
4. 在$JBOSS_HOME/bin或/root目录下出现大量如下异常文件
其中kisses.tar.gz就是病毒源码安装包,安装后生成以上文件。
解决方法
步一:查杀病毒
Killall -9 javas
Killall -9 pns
Killall -9 perl
cd /root 或 cd $JBOSS_HOME/bin
rm –rf bm*
rm –rf *.pl
rm –rf treat.sh
rm –rf install-sh
rm –rf version*
rm –rf kisses*
rm –rf pns*
rm –rf Makefile
rm –rf ipsort
rm –rf kisses*
rm –rf .sysdbs
rm –rf .sysync.pl
crontab –e
1 1 10 * * ~/.sysdbs
1 1 24 * * perl ~/.sysync.pl
1 1 24 * * perl ~/.sysync.pl
1 1 10 * * ~/.sysdbs
删除掉这几行
service crond stop
步二:Jboss安全加固,修改jmx-console与web-console的默认口令
JMX安全配置:
把GET和POST两行注释掉,同时security-constraint整个部分不要注释掉。
把security-domain注释去掉
修改admin密码
WEB-CONSOLE安全加固
修改方法与JMX安全加固一样。
步三:测试
完成Jboss的安全加固后做http访问测试,看能否正常显示验证窗口,输入设置的用户名口令后能否正常访问。
http://xxx.xxx.xxx.xxx/web-console
http://xxx.xxx.xxx.xxx/jmx-conslole
针对Jboss漏洞攻击的建议
对于病毒攻击一般还是以预防为主,一旦发现服务器已经中毒解决起来相关棘手。为了更有效的预防此类病毒攻击,提供以下建议:
1. Jboss应用程序应运行在非root用户下,防止病毒获得超级用户权限,修改root口令,控制服务器。
2. 为Jboss控制台启用验证,修改默认口令,口令要具有一定的复杂度。如果不需要,甚至可以关闭管理端口和相关统计信息,删除Jboss主目录和文件。
3. 将Jboss升级到最新版本,尤其是老板本的Jboss的本身漏洞较多,新版本的Jboss安全性较高。
4. WEB应用与接收器分离,如可以通过Apache与Jboss整合的方式实现,这样做一方面更安全,另一方面更适合高并发流量的访问。
1. 网络出现拥塞,访问延迟增加。
2. 系统定时任务表中出现异常的定时任务。
3. 出现异常进程。
4. $JBOSS_HOME/bin或/root目录下出现大量的异常文件。
现象分析
这是最近网上流行的一种蠕虫病毒,它利用Jboss中间件程序的jxm-console与web-console默认帐户漏洞进行攻击,感染linux服务器,成为僵尸代理。
1. 出现网络拥塞的原因是该蠕虫病毒利用名为pnscan工具不断执行端口扫描。发出大量的请求包,占用网络带宽。
2. 在系统定时任务表中可查看到名为如下的异常定时任务(有时候只有其中2个)。
crontab –l
.sysync.pl与.sysdbs都是隐藏文件,可以通过ls –la列表查看到。
3. 查看进程,可以检查到以下异常进程
有些服务器上还可以看到一些javas的异常进程,请确认这些javas进程,是否应用程序调用的java。
4. 在$JBOSS_HOME/bin或/root目录下出现大量如下异常文件
其中kisses.tar.gz就是病毒源码安装包,安装后生成以上文件。
解决方法
步一:查杀病毒
Killall -9 javas
Killall -9 pns
Killall -9 perl
cd /root 或 cd $JBOSS_HOME/bin
rm –rf bm*
rm –rf *.pl
rm –rf treat.sh
rm –rf install-sh
rm –rf version*
rm –rf kisses*
rm –rf pns*
rm –rf Makefile
rm –rf ipsort
rm –rf kisses*
rm –rf .sysdbs
rm –rf .sysync.pl
crontab –e
1 1 10 * * ~/.sysdbs
1 1 24 * * perl ~/.sysync.pl
1 1 24 * * perl ~/.sysync.pl
1 1 10 * * ~/.sysdbs
删除掉这几行
service crond stop
步二:Jboss安全加固,修改jmx-console与web-console的默认口令
JMX安全配置:
把GET和POST两行注释掉,同时security-constraint整个部分不要注释掉。
把security-domain注释去掉
修改admin密码
WEB-CONSOLE安全加固
修改方法与JMX安全加固一样。
步三:测试
完成Jboss的安全加固后做http访问测试,看能否正常显示验证窗口,输入设置的用户名口令后能否正常访问。
http://xxx.xxx.xxx.xxx/web-console
http://xxx.xxx.xxx.xxx/jmx-conslole
针对Jboss漏洞攻击的建议
对于病毒攻击一般还是以预防为主,一旦发现服务器已经中毒解决起来相关棘手。为了更有效的预防此类病毒攻击,提供以下建议:
1. Jboss应用程序应运行在非root用户下,防止病毒获得超级用户权限,修改root口令,控制服务器。
2. 为Jboss控制台启用验证,修改默认口令,口令要具有一定的复杂度。如果不需要,甚至可以关闭管理端口和相关统计信息,删除Jboss主目录和文件。
3. 将Jboss升级到最新版本,尤其是老板本的Jboss的本身漏洞较多,新版本的Jboss安全性较高。
4. WEB应用与接收器分离,如可以通过Apache与Jboss整合的方式实现,这样做一方面更安全,另一方面更适合高并发流量的访问。
相关文章推荐
- jboss漏洞导致服务器中毒
- JBoss漏洞导致服务器中毒,导致双机故障
- jboss漏洞导致服务器中毒
- centos5.8 误改/etc/fstab后导致系统进不去 解决办法
- 使用过多的窗体导致创建句柄失败的解决办法
- Default storage engine (InnoDB) is not available导致mysql无法启动的解决办法
- 由于启动用户实例的进程时出错,导致无法生成 SQL Server 的用户实例,该连接将关闭的解决办法
- 关于js的ajax方法导致跨域问题的解决办法
- 由于您和其他用户试图同时改变同一数据,导致 Microsoft Jet 数据库引擎停止进程解决办法
- 在spring MVC中,@PathVariable出现点号"."时导致路径参数截断获取不全的解决办法
- 中文字符通过URL转给PHP处理,导致中文乱码的解决办法!
- Response.Redirect导致session丢失的解决办法
- OOM内存溢出错误,导致程序闪退的解决办法
- 导出excel时因字段过长导致的hresult:0x800a03ec错误解决办法
- linux系统误删除zlib导致系统不能正常开机解决办法
- jboss7.1.1相关error及解决办法
- 新建项目报错,Failed to execute appt 错误,导致R文件报错的解决办法
- 关于透明状态栏的使用以及与软键盘冲突(导致SrollView不能滑动)的解决办法
- Linux服务器 开始sshd服务失败 提示权限不够的解决办法
- SecureRandom生成随机数超慢 导致tomcat启动时间过长的解决办法