Исследователи безопасности из компании Cisco Systems предупредили (http://blog.talosintel.com/2016/04/jboss-backdoor.html), что сканирование сети выявило около 3.2 миллионов публично доступных серверов, которые потенциально могут стать объектами вредоносного ПО SamSam (http://blog.talosintel.com/2016/03/samsam-ransomware.html), шифрующего файлы и требующего заплатить деньги за расшифровку. Проблеме подвержены системы, использующие устаревшие версии сервера приложений JBoss. Следует отметить, что несмотря на то, что JBoss является многоплатформенным продуктом и ассоциируется прежде всего с Red Hat Enterprise Linux, вредоносный шифровальщик SamSam (Win.Trojan.Samas) поддерживает только поражение серверов JBoss, работающих на базе ОС Windows.
В ходе исследования также выявлено примерно 2100 серверов, на которые уже проведена первая стадия атаки - внедрён бэкдор, позволяющий злоумышленникам полностью контролировать систему. Утверждается, что потенциально эти системы могут находится в стадии ожидания передачи вредоносного кода, осуществляющего шифрование, которое будет активировано после накопления большой порции контролируемых систем.
На многих поражённых системах используется библиотечное ПО Destiny (http://www.follettlearning.com/webapp/wcs/stores/servlet/en/...?), через которое организован доступ учащихся и учителей к образовательным ресурсам во многих школьных библиотеках. Разработчик данного ПО Follett сообщил о выявлении критической уязвимости, которая также могла быть использована для организации атаки.
Характер следов после проникновения злоумышленников говорит о том, что атаки пока носят нескоординированный характер и совершаются разными группами. Например, для атаки применяются семь разных уязвимостей в JBoss, а после проникновения устанавливаются разные web-shell, такие как "mela", "shellinvoker", "jbossinvoker", "zecmd", "cmd", "genesis", "sh3ll", "Inovkermngrt" и "jbot".В качестве признаков получения злоумышленниками контроля за системой упоминается появление в системе сторонних файлов jbossass.jsp, jbossass_jsp.class,
shellinvoker.jsp, shellinvoker_jsp.class,
mela.jsp, mela_jsp.class,
zecmd.jsp, zecmd_jsp.class,
cmd.jsp, cmd_jsp.class,
wstats.jsp, wstats_jsp.class,
idssvc.jsp, idssvc_jsp.class,
iesvc.jsp или iesvc_jsp.class. Предполагается, что для атаки применяется открытая утилита jexboss (https://github.com/joaomatosf/jexboss), предназначенная для тестирования незакрытых уязвимостей в JBoss.
URL: http://arstechnica.com/security/2016/04/3-million-servers-ar.../
Новость: http://www.opennet.me/opennews/art.shtml?num=44258
Типа успели? И хардкорда не будет?
Из этой новости я узнал, что под виндой есть уязвимости. Вот никогда бы не подумал.
А я узнал, что существуют сервера под Windows.
IDC утверждают что 45% рынка ... ну и кому верить?!
А никому! Никому верить нельзя!
Мне - можно ... (С)
> А я узнал, что существуют сервера под Windows.Евгений Ваганович, перелогиньтесь.
> серверов JBoss, работающих на базе ОС WindowsWindows не подходит для серверов.
для дескторов тоже не подходит. Однако ко же и там и там еЁ чуть более чем до много :-\
а шо делать? если есть подходящий кактус и хороший маркеторог, миллионы мышей будут плакать, колоться и грызть.
Если бы не подходилп не юзали бы. Сказано же уязвимая версиия "какой-то фигни", а виндоуст только потому, что удобнее и привычнее трояны клепать, но при желании...
жаба на винде торчит в интернет, это какой-то пугающий кошмаром ужос. Ужос, что информационными технологиями занимаются слабоумные.
> жаба на винде торчит в интернет, это какой-то пугающий кошмаром ужос. Ужос,
> что информационными технологиями занимаются слабоумные.IT-к, запускающий боевой вебсервер мышкой - должен страдать. Как и его наниматели.
>>поддерживает только поражение серверов JBoss, работающих на базе ОС Windows.Нахрена это тут надо??
Для поднятия чувства собственной значимости)
Вы ржёте, а я знаю клиента кто попадает под этот расклад.
Вам не скажу, чтоб не пугать, но это полный ППЦ. Отправил им по старой памяти нотис, чё делать будут ума не приложу :-\
Гос учреждения, Сбербанк.. и т.д. и т.п. знаем.. не боимся.. привыкли..
Ну раз вы смелые :) ... Хороший такой кусище медицины. Вплоть до историй болезней и страховых кейсов.
А на каком % тех серверов есть антивирусы и насколько они могут заделывать эту дыру в безопасности? (И а если файлы там из за той дыры в безопасности вдруг оказались зашифрованными, то найден ли способ их расшифровать?)
И а на каком % тех серверов работает автоматический бэкап данных?
> А на каком % тех серверов есть антивирусы и насколько они могут
> заделывать эту дыру в безопасности? (И а если файлы там из
> за той дыры в безопасности вдруг оказались зашифрованными, то найден ли
> способ их расшифровать?)
> И а на каком % тех серверов работает автоматический бэкап данных?Если сервера стоят не у полных идиотов, то смотрящие в инет сервисы находятся, как минимум, в DMZ (и не одном). И антивирус, разумеется, есть, равно как и общая IDS.
> Если сервера стоят не у полных идиотов [...] антивирус, разумеется, естьЗнаете, всё-таки не сочетается.
ура! Миша Рыцаревъ вернулся!
Кто бы сомневался. Гoвнобосс, как и любой ынтерпрайз, можно держать только в оффлайне.
Где хавту?
Что с WildFly?
JBoss Community Edition, (or after 2014 know as WildFly) releases of the JBoss Application Server prior to version 6.0.0.M3 are potentially vulnerable to this flaw if the default authentication settings are applied.
https://access.redhat.com/solutions/2205341походу с wildfly все ок, тк. JBoss версии 8 был переименован в WildFly
Ну так призовите докторавеба.. Он жаждет, он рвётся, добрый доктор вебболит.