Jboss漏洞导致Linux服务器中毒解决办法

1.  网络出现拥塞,访问延迟增加。

2.  系统定时任务表中出现异常的定时任务。

3.  出现异常进程。

4.   $JBOSS_HOME/bin或/root目录下出现大量的异常文件。

 

 

现象分析

  这是最近网上流行的一种蠕虫病毒,它利用Jboss中间件程序的jxm-console与web-console默认帐户漏洞进行攻击,感染linux服务器,成为僵尸代理。

1.  出现网络拥塞的原因是该蠕虫病毒利用名为pnscan工具不断执行端口扫描。发出大量的请求包,占用网络带宽。

2.   在系统定时任务表中可查看到名为如下的异常定时任务(有时候只有其中2个)。

crontab –l

.sysync.pl与.sysdbs都是隐藏文件,可以通过ls –la列表查看到。

3.  查看进程,可以检查到以下异常进程

有些服务器上还可以看到一些Javas的异常进程,请确认这些javas进程,是否应用程序调用的java。

4.       在$JBOSS_HOME/bin或/root目录下出现大量如下异常文件

其中kisses.tar.gz就是病毒源码安装包,安装后生成以上文件。

 

解决方法

 

步一:查杀病毒

Killall -9 javas

Killall -9 pns

Killall -9 perl

 

cd /root 或  cd $JBOSS_HOME/bin

rm –rf bm*

rm –rf *.pl

rm –rf treat.sh

rm –rf install-sh

rm –rf version*

rm –rf kisses*

rm –rf pns*

rm –rf Makefile

rm –rf ipsort

rm –rf kisses*

rm –rf .sysdbs

rm –rf .sysync.pl

 

crontab –e

1 1 10 * * ~/.sysdbs

1 1 24 * * perl ~/.sysync.pl

1 1 24 * * perl ~/.sysync.pl

1 1 10 * * ~/.sysdbs

删除掉这几行

service crond stop

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wwdggf.html