forum.opennet.ru

Составление сообщения

Исходное сообщение

"Обнаружен червь, эксплуатирующий исправленную год назад уязв..."
Отправлено TS, 28-Окт-11 17:11

Проверь можно ли зайти на JMX консоль без пароля - http://jbossserver:jbossport/jmx-console/
Проверь можно ли зайти на JMX консоль по методу HEAD без авторизации -
telnet 127.0.0.1 8080
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
HEAD /jmx-console/ HTTP/1.0
HTTP/1.1 401 Unauthorized
Server: Apache-Coyote/1.1
Pragma: No-cache
Cache-Control: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 UTC
WWW-Authenticate: Basic realm="JBoss JMX Console"
Content-Type: text/html;charset=utf-8
Content-Length: 950
Date: Fri, 28 Oct 2011 13:06:05 GMT
Connection: close
Если что либо можно - дела плохи. Нужно латать дырку - поставить пароль на консоль и удалить <http-method>...</http-method> из секции <security-constraint></security-constraint> в %JBOSS_HOME%/server/*/deploy/jmx-console.war/web.xml
Проверить наличие червя можно по наличию файлов linda.pl, flu.pl, kisses.tar.gz, zecmd*, iesvc*. Можно попробовать зайти на бекдор который открывает червь - http://jbossserver:jbossport/zecmd/zecmd.jsp
Гугл на сегодняшний день выдает более 3000 зараженных машин - http://www.google.com/search?q=zecmd%2Fzecmd.jsp

Исходное сообщение
"Обнаружен червь, эксплуатирующий исправленную год назад уязв..." Отправлено TS, 28-Окт-11 17:11
Проверь можно ли зайти на JMX консоль без пароля - http://jbossserver:jbossport/jmx-console/ Проверь можно ли зайти на JMX консоль по методу HEAD без авторизации - telnet 127.0.0.1 8080 Trying 127.0.0.1... Connected to localhost.localdomain (127.0.0.1). Escape character is '^]'. HEAD /jmx-console/ HTTP/1.0 HTTP/1.1 401 Unauthorized Server: Apache-Coyote/1.1 Pragma: No-cache Cache-Control: no-cache Expires: Thu, 01 Jan 1970 00:00:00 UTC WWW-Authenticate: Basic realm="JBoss JMX Console" Content-Type: text/html;charset=utf-8 Content-Length: 950 Date: Fri, 28 Oct 2011 13:06:05 GMT Connection: close Если что либо можно - дела плохи. Нужно латать дырку - поставить пароль на консоль и удалить <http-method>...</http-method> из секции <security-constraint></security-constraint> в %JBOSS_HOME%/server//deploy/jmx-console.war/web.xml Проверить наличие червя можно по наличию файлов linda.pl, flu.pl, kisses.tar.gz, zecmd, iesvc*. Можно попробовать зайти на бекдор который открывает червь - http://jbossserver:jbossport/zecmd/zecmd.jsp Гугл на сегодняшний день выдает более 3000 зараженных машин - http://www.google.com/search?q=zecmd%2Fzecmd.jsp

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру