一个伪黑客的成功的秘密2:Jboss入侵

简介:

咱们前面分享了TOMCAT入侵的一点小小经验。下面咱们分享一下最常见和简单的Jboss入侵。Jboss一个基于J2EE的开放源代码的应用服务器,JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。JBoss的默认端口是8080 ,也有人经常配置为80,许多管理员部署完Jboss后不进行安全加固,对外开放了管理界面,且为默认口令,同时有些版本的Jboss也有关的一些漏洞可以利用。入侵者们常利用这个配置不当或是漏洞,进行木马的上传,然后,嘿。。JSP马很多,功能就不讨论了。

前几日,大侠处理了一个安全应急事件,入侵者就是利用这个来进行入侵的。我把过程回放一下,希望对大家有所帮助。

1、漏洞或管理界面的查找,用谷歌。直接输入jmx-console,查找开了jmx-console管理界面的网站,定然会有许多收获。或是查找常见JSP木马的文件名,也会有收获,都是别人已经入侵的站点。比如有一个木马,它有多个目录,你只需要搜索任意或多个目录名或文件名:console-mgr、idssvc、iesvc、wstats、zecmd、zmeu。一不小心 就发现有N个被入侵的网站,甚至多个为政府网站。

快照8

快照9

 

快照10

以上三个图片,就是被上传的木马。

2、木马的上传。通过管理界面,进行木马上传,某网站有弱口令,

1. Jboss管理界面未限制,公网可任意访问,且使用默认口令,可上传木马,进行入侵

http://xxx.xxx.xxx.xxx/web-console/

用户名:admin

密码:admin

恶意攻击者就有可能在服务器上执行添加管理员账号的命令或下载木马程序并运行的命令,最终达到其控制服务器的目的。

恶意攻击者可以通过该方法向服务器上传后门程序,从而获取对服务器的完全控制权;同时可以通过该方法覆盖服务器上的任意文件,从而造成数据丢失或系统损坏等。

许多站点,不用登陆,直接就能进行管理界面。http://xxx.xxx.xxx.xxx:8080/jmx-console/HtmlAdaptor?action=displayMBeans

如何上传木马呢,在管理界面中查找:jboss.deployment 或是查找:flavor=URL,type=DeploymentScanner

快照11

进入找到:URLList,即可在后面看到WAR程序安装包路径,甚至其他入侵者行为时的木马地址,这也算是个收获:

快照12

 

咱们继续说上传的事吧,在下面找到的void addURL(),即可上传木马,输入木马的地址(war压缩文件webshell的url地址),点击Invoke.

快照13

这样木马就上传成功了,然后运行,

快照14

 

 

3、安全建议:给jmx-console加上访问密码,并限制在公网的访问。同时检查版本是否有漏洞,是否需要升级。

1.在 ${jboss.server.home.dir}/deploy下面找到jmx-console.war目录编辑WEB-INF/web.xml文件 去掉 security-constraint 块的注释,使其起作用

2.编辑WEB-INF/classes/jmx-console-users.properties或server/default/conf/props/jmx-console-users.properties (version >=4.0.2)和 WEB-INF/classes/jmx-console-roles.properties

或server/default/conf/props/jmx-console-roles.properties(version >=4.0.2) 添加用户名密码

3.编辑WEB-INF/jboss-web.xml去掉 security-domain 块的注释 ,security-domain值的映射文件为 login-config.xml (该文件定义了登录授权方式)

参考地址:https://community.jboss.org/wiki/SecureTheJmxConsole

 

4、总结:

系统部署完成后,修改口令、限制访问、删除中间过程或临时文件;

对系统进行自评估,比如Acunetix Web Vulnerability Scanner ;

不要对外开放管理界面、或不要使用默认的管理界面;

如无必要,可以限制服务器访问外网的权限,防止反弹。

定期检查自己所有应用或程序的安全,是否有暴出漏洞或0day,及时修补。





     本文转自小侠唐在飞 51CTO博客,原文链接:http://blog.51cto.com/xiaoxia/865978,如需转载请自行联系原作者



相关文章
|
5月前
|
SQL 安全 网络安全
网络防御的盾牌与矛:探索漏洞、加密与安全意识
在数字时代的浪潮中,网络安全成为维系信息社会健康运转的关键。本文深入剖析了网络安全漏洞的成因与危害,探讨了加密技术在保护数据隐私和完整性方面的作用,并强调了提升个人及组织安全意识的重要性。通过分析具体案例,文章旨在为读者提供防范网络威胁的策略和建议,促进构建更为坚实的网络安全防线。
|
云安全 安全 开发工具
一觉醒来,小R的服务器被暴力破解,被植入挖矿程序?
一觉醒来,小R的服务器被暴力破解,被植入挖矿程序?
165 0
|
云安全 安全 网络安全
随着攻击者适应绕过零信任,公司在苦苦挣扎
随着攻击者适应绕过零信任,公司在苦苦挣扎
|
安全 测试技术 数据安全/隐私保护
|
云安全 监控 安全
攻击者使用showDoc的漏洞传播僵尸网络
近日,阿里云安全团队基于威胁情报挖掘网络攻击日志的过程中,发现了使用showDoc漏洞传播僵尸网络和挖矿软件的攻击事件,使用该手法传播僵尸网络暂未被公开报告过。
1431 0
攻击者使用showDoc的漏洞传播僵尸网络
|
安全 数据安全/隐私保护
黑客能篡改WiFi密码,源于存在漏洞
随着社会的快速发展,城市中的无线网络遍布各处,如,首先是自家,一般都会接入光纤网络,然后是出行的交通工具汽车,火车,飞机等,或者是公园广场,商场,酒店等都是存在着无线网络,而且有一些无线网络是免密码连接就可以用的,那么它们是否存在安全问题呢?黑客会盯上WiFi网络吗?答案是会的。
1492 0
|
安全 NoSQL Redis
网站数据被黑客篡改攻击该如何解决
很多公司的网站被攻击,导致网站打开跳转到别的网站上去,网站快照也被篡改,收录一些非法的内容快照,有些网站数据库都被篡改,修改了会员资料,数据库被删除,等等攻击症状,我们SINE安全在解决客户网站被攻击的问题,发现都是由于网站存在漏洞导致的,攻击者利用网站的漏洞对网站进行攻击,上传webshell文件,进而对网站进行篡改。
2567 0
|
安全 Android开发
研究称Android内核存在漏洞 黑客可窃取电邮
北京时间11月1日消息,据国外媒体报道,Coverity通过研究发现,Android智能手机操作系统内核存在漏洞,部分漏洞可以被黑客用来窃取用户的电子邮件和其他敏感信息。 Coverity是在宏达电Droid Incredible手机的Android中发现这些漏洞的,但表示,其他Android手机也可能存在相同的漏洞。
664 0
|
安全 数据安全/隐私保护
Twitter安全问题接连不断 黑客再次入侵
据国外媒体报道,上周三一位网名为“黑客克罗尔”(Hacker Croll)的用户在一家法国技术论坛发帖称,他已成功入侵Twitter,并获得10名Twitter用户账号的控制权。为证明事件真实性,克罗尔还在论坛上贴出了他入侵Twitter用户账号后的13幅截图。
977 0