Jboss漏洞导致Linux服务器中毒解决办法
中毒现象
1. 网络出现拥塞,访问延迟增加。
2. 系统定时任务表中出现异常的定时任务。
3. 出现异常进程。
4. $JBOSS_HOME/bin或/root目录下出现大量的异常文件。
现象分析
这是最近网上流行的一种蠕虫病毒,它利用Jboss中间件程序的jxm-console与web-console默认帐户漏洞进行攻击,感染linux服务器,成为僵尸代理。
1. 出现网络拥塞的原因是该蠕虫病毒利用名为pnscan工具不断执行端口扫描。发出大量的请求包,占用网络带宽。
2. 在系统定时任务表中可查看到名为如下的异常定时任务(有时候只有其中2个)。
crontab –l
.sysync.pl与.sysdbs都是隐藏文件,可以通过ls –la列表查看到。
3. 查看进程,可以检查到以下异常进程
有些服务器上还可以看到一些javas的异常进程,请确认这些javas进程,是否应用程序调用的java。
4. 在$JBOSS_HOME/bin或/root目录下出现大量如下异常文件
其中kisses.tar.gz就是病毒源码安装包,安装后生成以上文件。
解决方法
步一:查杀病毒
Killall -9 javas
Killall -9 pns
Killall -9 perl
cd /root 或 cd $JBOSS_HOME/bin
rm –rf bm*
rm –rf *.pl
rm –rf treat.sh
rm –rf install-sh
rm –rf version*
rm –rf kisses*
rm –rf pns*
rm –rf Makefile
rm –rf ipsort
rm –rf kisses*
rm –rf .sysdbs
rm –rf .sysync.pl
crontab –e
1 1 10 * * ~/.sysdbs
1 1 24 * * perl ~/.sysync.pl
1 1 24 * * perl ~/.sysync.pl
1 1 10 * * ~/.sysdbs
删除掉这几行
service crond stop
相关推荐
凯哥Java 2020-03-28
forliberty 2015-05-04
Strongding 2011-09-04
Congpanpan 2011-04-30
linuxisperfect 2008-10-27
tianshijianbing 2008-09-05
stoneechogx 2019-10-23
xieronghua 2019-10-11
姚强 2016-01-05
llystar 2017-08-10
lvzhiliang 2018-11-29
宁静致远 2017-08-10
菜鸟上路CCLinux 2014-11-06
85530194 2017-12-27
hunningtu 2011-07-15
farwang 2011-07-10
enen0 2011-05-12
mahy 2011-05-10