-
-
[转帖]JBoss网站蠕虫再次大规模爆发
-
发表于:
2013-3-11 11:12
3452
-
国家互联网应急中心(CNCERT)抽样监测发现,JBoss网站蠕虫在继2012年第三季度大规模爆发后,在今年2月26日凌晨1:50左右再次出现大规模的攻击情况。该蠕虫具有传播速度快、影响范围广等特点,对网站用户信息安全和业务运行安全构成严重的威胁。现将有关情况通报如下:
一、情况分析
根据CNCERT抽样监测结果,从2月26日1:50左右开始,JBoss网站蠕虫再次活跃,仅截止到27日12点已感染网站服务器203个,其中境内网站有58个。这些被JBoss网站蠕虫成功入侵的服务器,还会自动扫描其他网站服务器,利用JBoss漏洞对之进行攻击从而传播自身。截至27日12点,被扫描攻击的网站数量高达90.7万个,其中境内网站有35.7万,涉及大量政府网站、金融行业网站、新闻类网站及科研院所网站等重要网站。
JBoss网站蠕虫主要攻击存在“JBoss企业应用平台JMX控制台安全绕过漏洞”(编号:CNVD-2010-00821)的网站服务器,并通过服务器开放的JMXInvokeServlet服务,在网站上植入.JSP类型的网站后门文件以及相关恶意程序,常见后门文件有:zecmd.jsp、idssvc.jsp、iesvc.jsp、wstats.jsp、invoker.jsp。由于感染JBoss网站蠕虫的都是网站服务器,而并非普通的用户个人计算机,且受感染的大量网站能够形成一个受到黑客远程集中控制的僵尸网络,所以JBoss网站蠕虫危害十分严重,需引起高度重视。
CNCERT将紧密关注该网站蠕虫的传播和感染情况。各单位如有进一步信息,请与CNCERT联系。联系方式:010-82991000 cncert@cert.org.cn。
二、处置建议
Linux操作系统厂商Redhat在2010年4月底提供了修复措施,但仍有不少网站未进行修复。
建议修复措施如下:
(一)建议未对网站服务器是否已被入侵进行排查的单位,如发现遭受攻击,及时清除后门文件和恶意程序,同时进行加固。
(二)加强Jboss应用服务器的安全防范,应禁止外部无关IP或用户访问JMX-console控制台并严格限制Jboss JMXInvokerServlet的访问权限,相关操作通过更改web.xml、jboss-web.xml等配置文件开启身份验证选项完成。
附参考链接:
1、互联网网络安全信息通报(总第143期):
http://www.cert.org.cn/publish/main/10/2012/20120929152304896367408/20120929152304896367408_.html
2、国家信息安全漏洞共享平台(CNVD)收录(编号:CNVD-2010-00821):
http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=26948
3、Linux操作系统厂商Redhat在2010年4月底提供的漏洞修复措施:
https://rhn.redhat.com/errata/RHSA-2010-0376.html
https://rhn.redhat.com/errata/RHSA-2010-0377.html
https://rhn.redhat.com/errata/RHSA-2010-0378.html
https://rhn.redhat.com/errata/RHSA-2010-0379.html
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!