开发者社区> boxti> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

遭JBoss漏洞破坏23000台服务器“中招

简介:
+关注继续查看

本文讲的是 :   遭JBoss漏洞破坏23000台服务器“中招 , 【IT168 资讯】11月20日消息,攻击者正积极利用一个已知漏洞破坏JBoss Java EE应用服务器,这些应用服务器以非安全方式向互联网曝露了HTTP调用服务。

遭JBoss漏洞破坏23000台服务器中招

  十月初,安全研究员Andrea MIcalizzi在多家厂商(包括惠普,McAfee,赛门铁克和IBM)使用4.X和5.X JBoss的产品中发现了一个漏洞并将之发布。黑客可以利用该漏洞(CVE-2013-4810)在曝露了EJBInvokerServlet或JMXInvokerServlet上JBoss部署上安装一个任意应用。

遭JBoss漏洞破坏23000台服务器中招

  Micalizzi利用该漏洞安装了一个名改为pwn.jsp的Web Shell应用,该应用可通过HTTP请求在操作系统上执行Shell命令。可以通过OS的用户身份许可从而运行JBoss,而在一些JBoss部署案例中,甚至可以拥有较高的权限,如管理员。

  来自安全公司Imperva的研究员最近检测到针对JBoss服务器的攻击有所增加,这些攻击利用Micalizzi所说的漏洞安装了原始的pwn.jsp shell,不仅如此还有更复杂的名为JspSpy的 Web Shell。

  在JBoss服务器上运行的200多个站点,包括那些隶属于政府和大学的站点,都被这些Web Shell应用入侵和感染,Imperva安全策略总监Barry Shteiman说。

  实际情况更为严重,因为Micalizzi所说的漏洞源自不安全的默认配置,这些配置使得JBoss管理界面和调用程序暴露在未经验证的攻击之下,这一问题已经存在多年了。

  2011年,在一份关于JBoss因安装不当被黑的报告中,Matasano Security的安全研究员在谷歌搜索的基础上估计约有7300台有潜在漏洞服务器。

  据Shteiman透露,管理界面暴露到互联网的JBoss数量翻了三倍,达到了23000。

  这种增长的原因之一或许是人们完全了解与此问题相关的风险,不过却一直以不安全的方式部署安装JBoss,Shteiman说。而且,有些厂商推出产品的时候,本身就使用了不安全的JBoss配置,如不能抵挡Micalizzi漏洞利用的产品,他说。

  存在CVE-2013-4810漏洞的产品包括McAfee Web Reporter 5.2.1,惠普ProCurve Manager 3.20和4.0,惠普PCM+ 3.20和4.0,惠普 Identity Driven Manager 4.0,Symantec Workspace Streaming 7.5.0.493和IBM TRIRiGA。 还未发现有其他厂商的产品上有此漏洞。

遭JBoss漏洞破坏23000台服务器中招

  JBoss由Red Hat开发,最近更名为WildFly。最新的版本是7.1.1,不过据Shteiman透露,许多企业因兼容性的问题而仍使用JBoss 4.X和5.X版本,因为他们要运行的应用是为旧版的JBoss而研发。

遭JBoss漏洞破坏23000台服务器中招

  这些企业应该到JBoss社区网站查询确保JBoss的安全安装。

  IBM也对此漏洞做出响应,提供了安全安装JMX Console和EJBInvoker的信息。



原文发布时间为:2015年7月6日

本文作者:佚名

本文来自云栖社区合作伙伴IT168,了解相关信息可以关注IT168

原文标题 :遭JBoss漏洞破坏23000台服务器“中招


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
使用云服务器的个人经验
使用云服务器的个人经验
14 0
常见流媒体服务器方案对比分析
目前,市面上有很多开源的流媒体服务器解决方案,常见的有 SRS、EasyDarwin、ZLMediaKit 和 Monibuca 等,我们应该怎么选择呢?今天这篇文章主要介绍 SRS、EasyDarwin、ZLMediaKit 和 Monibuca 的一些对比情况,可以作为日后调研选型和学习的参考文档。
522 0
express搭建服务器
学习express搭建node服务器 一、安装express框架 1、了解框架(百度) 2、下载框架 (1)使用npm命令下载 npm install express -g //全局安装,安装的是express最新版本 所有的项目都能用 npm install express //局部安装 只有当前项目能用 npm install express @版本号 //安装指定版本 npm install express --save //依赖安装   当全局安装的时候,加 -g ,代表全局安装,一般安装在C盘用户下这个路径里,所以项目都可用里面的模块。
1360 0
如何重启云服务器?
本文介绍如何重启云服务器?购买前请先:领取阿里云幸运券,有很多优惠,下文中有领取链接。 购买建议多买几年,年数越多优惠越多。
5680 0
使用Express搭建服务器
Express是基于Node.js平台,快速、开放、极简的web开发框架。所以,使用Express之前,请确保已安装Node.js。 1.创建一个目录作为当前工作目录: $ mkdir myapp $ cd myapp   2.通过npm  init命令为你的应用创建一个package.json文件。
1139 0
搭建cvs服务器
http://zhangjunhd.blog.51cto.com/113473/78595   http://www.cnblogs.com/lee/archive/2008/10/22/1317226.html未来星开发团队--狒狒 QQ:9715234
850 0
布置第一个JBOSS服务器
还是要通过实践慢慢积累感觉。。 SERVLET的制作,JAVAC的编译。。。 package com.manning.jbia.intro; import java.io.IOException; import java.
902 0
jboss7的服务器开启和关闭命令
  国内私募机构九鼎控股打造APP,来就送 20元现金领取地址:http://jdb.jiudingcapital.com/phone.html内部邀请码:C8E245J (不写邀请码,没有现金送)国内私募机构九鼎控股打造,九鼎投资是在全国股份转让系统挂牌的公众公司,股票代码为430719,为“中国PE第一股”,市值超1000亿元。
610 0
服务器端解决JS跨域调用问题
一. 使用JSONp方式调用   不做详细讲解,可以参考jq文档   二. 服务端配置   修改Web.config 文件   客户...
765 0
+关注
boxti
12535
10005
文章
1327
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载