思科警告称勒索软件正在利用未打补丁的JBoss服务器

　　据思科系统(Cisco Systems)的研究人员称，大约320万台运行未修补版本的服务器--OpenSourceJBoss应用服务器--面临着托管和交付Ransomware的风险。但该公司还警告称，其中一组风险很高。
　　＂我们发现在近1,600个IP地址上安装了2,100个后门，＂公司星期五在博客上说。具体而言，许多这些系统具有FOLettCorp.的TrackingSchool图书馆资产的命运库管理系统。
　　FOLett快速创建了一个系统，不仅可以从9.0-13.5版修补所有系统，而且还可以捕获服务器上存在的任何非命运文件，以帮助删除任何现有的后门。＂鉴于这一威胁的广泛范围，当务之急是，所有的命运用户都确保他们利用了这个补丁，＂说，思科。
　　JBOSS是一个基于JavaEE的服务器，最初由JBossLLC开发，但自2006年起由RedHat公司拥有。思科在3月底警告说，攻击者在里面发现了一个漏洞，可以上传一个用于远程控制服务器的webshell。攻击者通常使用JexBoss，一种用于测试和利用JBoss应用服务器的开源黑客工具来查找他们可以利用的服务器。一旦进入网络，SamSamRansomware就被上传，然后扩展到Windows PC。
　　思科表示，JBoss问题是在＂客户参与＂之后发现的，这导致它在互联网上搜索易受攻击的服务器。
　　＂在此过程中，我们了解到，在受损的JBoss服务器上，通常存在一个以上的Webshell，并且很重要的是要查看＂作业状态＂页的内容。我们看到了几个不同的后门，包括：＂Mela＂,＂Shellinoker＂,＂JBossinovker＂,＂ZECMD＂,＂＂,＂发生＂,＂SH3LL＂并且可能有可能＂INVOKERMNGRT＂以及＂JBOT＂.这意味着，这些系统中的许多被不同的行为者多次受到损害。＂
　　由于来自US-CERT状态的这一建议，可以通过多个Web应用程序利用或配置缺陷(包括跨站点脚本编写、SQL注入、应用程序/服务中的漏洞、文件处理漏洞和公开的管理接口)来传递Web shell。
　　因为它们可以很容易修改，所以很难检测到。美国CERT表示，管理员应该怀疑网站使用率过高的异常时期(由于潜在的上传和下载活动)、具有不寻常时间戳的文件(例如，比上次安装的web应用程序更新更近)；Internet可访问位置中的可疑文件(web根)；包含对cmd.exe或val等可疑关键字的引用的文件；日志中的意外连接。(例如，由Web服务器进程生成意外或异常网络流量的afile类型；以及任何可疑shell命令(如目录遍历)的证据。
　　如果发现Web shell的证据，请立即将服务器与网络断开连接。
　　为了确保您的系统没有任何漏洞，请尽快对所有系统进行修补和更新。