<b>中毒現象</b>
1. 網絡出現擁塞,通路延遲增加。
2. 系統定時任務表中出現異常的定時任務。
3. 出現異常程序。
4. $JBOSS_HOME/bin或/root目錄下出現大量的異常檔案。
<b>現象分析</b>
這是最近網上流行的一種蠕蟲病毒,它利用Jboss中間件程式的jxm-console與web-console預設帳戶漏洞進行攻擊,感染linux伺服器,成為僵屍代理。
1. 出現網絡擁塞的原因是該蠕蟲病毒利用名為pnscan工具不斷執行端口掃描。發出大量的請求包,占用網絡帶寬。
2. 在系統定時任務表中可檢視到名為如下的異常定時任務(有時候隻有其中2個)。
crontab –l
<a href="http://blog.51cto.com/attachment/201202/133526879.jpg" target="_blank"></a>
.sysync.pl與.sysdbs都是隐藏檔案,可以通過ls –la清單檢視到。
3. 檢視程序,可以檢查到以下異常程序
<a href="http://blog.51cto.com/attachment/201202/133602757.jpg" target="_blank"></a>
有些伺服器上還可以看到一些javas的異常程序,請确認這些javas程序,是否應用程式調用的java。
4. 在$JBOSS_HOME/bin或/root目錄下出現大量如下異常檔案
<a href="http://blog.51cto.com/attachment/201202/133639919.jpg" target="_blank"></a>
其中kisses.tar.gz就是病毒源碼安裝包,安裝後生成以上檔案。
<b>解決方法</b>
步一:清除病毒
Killall -9 javas
Killall -9 pns
Killall -9 perl
cd /root 或 cd $JBOSS_HOME/bin
rm –rf bm*
rm –rf *.pl
rm –rf treat.sh
rm –rf install-sh
rm –rf version*
rm –rf kisses*
rm –rf pns*
rm –rf Makefile
rm –rf ipsort
rm –rf .sysdbs
rm –rf .sysync.pl
crontab –e
1 1 10 * * ~/.sysdbs
1 1 24 * * perl ~/.sysync.pl
删除掉這幾行
service crond stop
步二:Jboss安全加強,修改jmx-console與web-console的預設密碼
JMX安全配置:
把GET和POST兩行注釋掉,同時security-constraint整個部分不要注釋掉。
<a href="http://blog.51cto.com/attachment/201202/133740710.jpg" target="_blank"></a>
把security-domain注釋去掉
<a href="http://blog.51cto.com/attachment/201202/133826299.jpg" target="_blank"></a>
修改admin密碼
<a href="http://blog.51cto.com/attachment/201202/133852309.jpg" target="_blank"></a>
WEB-CONSOLE安全加強
<a href="http://blog.51cto.com/attachment/201202/133924885.jpg" target="_blank"></a>
修改方法與JMX安全加強一樣。
步三:測試
完成Jboss的安全加強後做http通路測試,看能否正常顯示驗證視窗,輸入設定的使用者名密碼後能否正常通路。
<a href="http://xxx.xxx.xxx.xxx/web-console">http://xxx.xxx.xxx.xxx/web-console</a>
<a href="http://xxx.xxx.xxx.xxx/jmx-conslole">http://xxx.xxx.xxx.xxx/jmx-conslole</a>
<b>針對</b><b>Jboss</b><b>漏洞攻擊的建議</b>
對于病毒攻擊一般還是以預防為主,一旦發現伺服器已經中毒解決起來相關棘手。為了更有效的預防此類病毒攻擊,提供以下建議:
1. Jboss應用程式應運作在非root使用者下,防止病毒獲得超級使用者權限,修改root密碼,控制伺服器。
2. 為Jboss控制台啟用驗證,修改預設密碼,密碼要具有一定的複雜度。如果不需要,甚至可以關閉管理端口和相關統計資訊,删除Jboss主目錄和檔案。
3. 将Jboss更新到最新版本,尤其是老闆本的Jboss的本身漏洞較多,新版本的Jboss安全性較高。
4. WEB應用與接收器分離,如可以通過Apache與Jboss整合的方式實作,這樣做一方面更安全,另一方面更适合高并發流量的通路。
本文轉自清風拂面 51CTO部落格,原文連結:http://blog.51cto.com/crazy123/787647
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)