1. 查看进程,可以检查到以下异常进程 [图⽚上传失败...(image-b03e60-1594881576159)]
有些服务器上还可以看到⼀些javas的异常进程,请确认这些javas进程,是否应⽤程序调⽤的java。
2. 在$JBOSS_HOME/bin或/root⽬录下出现⼤量如下异常⽂件 [图⽚上传失败...(image-82d287-1594881576158)]
其中就是病毒源码安装包,安装后⽣成以上⽂件。
6.3 解决⽅法
curl是什么命令
步⼀:查杀病毒
Killall -9 javas Killall -9 pns Killall -9 perl
cd /root 或 cd $JBOSS_HOME/bin rm –rf bm* rm –rf .pl rm –rf treat.sh rm –rf install-sh rm –rf version rm –rf kisses* rm –rf pns* rm –rf Makefile rm –rf ipsort rm –rf kisses* rm –rf .sysdbs rm –rf .sysync.pl
crontab –e 1 1 10 ~/.sysdbs 1 1 24 perl ~/.sysync.pl 1 1 24 perl ~/.sysync.pl 1 1 10~/.sysdbs 删除掉这⼏⾏ service crond stop
步⼆:Jboss安全加固,修改jmx-console与web-console的默认⼝令
JMX安全配置:
把GET和POST两⾏注释掉,同时security-constraint整个部分不要注释掉。
把security-domain注释去掉
修改admin密码
WEB-CONSOLE安全加固
修改⽅法与JMX安全加固⼀样。
步三:测试
完成Jboss的安全加固后做http访问测试,看能否正常显⽰验证窗⼝,输⼊设置的⽤户名⼝令后能否正常访问。
6.4 针对Jbo ss漏洞攻击的建议
对于病毒攻击⼀般还是以预防为主,⼀旦发现服务器已经中毒解决起来相关棘⼿。为了更有效的预防此类病毒攻击,提供以下建议:
1. Jboss应⽤程序应运⾏在⾮root⽤户下,防⽌病毒获得超级⽤户权限,修改root⼝令,控制服务器。
2. 为Jboss控制台启⽤验证,修改默认⼝令,⼝令要具有⼀定的复杂度。如果不需要,甚⾄可以关闭管理端⼝和相关统计信息,删除Jboss主⽬
录和⽂件。
3. 将Jboss升级到最新版本,尤其是⽼板本的Jboss的本⾝漏洞较多,新版本的Jboss安全性较⾼。
4. WEB应⽤与接收器分离,如可以通过Apache与Jboss整合的⽅式实现,这样做⼀⽅⾯更安全,另⼀⽅⾯更适合⾼并发流量的访问。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。