SlideShare une entreprise Scribd logo

F*cking JBoss Pwned

Alexandro Silva
Alexandro Silva

Palestra realizada dia 04 de dezembro de 2011 na Conferência O Outro Lado ( CoOL )

Technologie
1  sur  20
Télécharger pour lire hors ligne
04 de dezembro 2011 – São Paulo/SP
F*ck1ng Pwn3d
●Analista de Segurança da Informação; ● Consultor independente; ● Professor; ● DCLabs Security Team
Servidor de aplicações Java baseado no padrão J2EE responsável pela hospedagem, publicação e gerenciamento de portais corporativos. ● Prós: ● Facilidade de implementação, manutenção, escalabilidade e clustering; ● Contras: ● Grande consumidor de recursos, tunning complicado.
A Vulnerabilidade
● CVE-2010-0738 – 26/04/2010 ● JMX-Console Authentication Bypass: JBoss Communications Platform 1.2 JBoss Enterprise Application Platform (EAP) 4.2, 4.3, 5.0 JBoss Enterprise Portal Platform (EPP) 4.3 JBoss Application Server (AS) 4.0.x JBoss Enterprise Web Platform (EWP) 5.0 JBoss SOA-Platform (SOA-P) 4.2, 4.3, 5.0
● Divulgado em Outubro/2011; ● Explora a vulnerabilidade CVE-2010-0738; ● Autenticação do JBoss é insuficiente;
186.192.127.7 : 80 : TXT : JBoss-4.2.2.GA (build: SVNTag=JBoss_4_2_2_GA date=200710221139)/ 212.211.201.58 : 80 : TXT : JBoss-4.0.5.GA (build: CVSTag=Branch_4_0 date=200610162339)/Tomc 67.213.226.244 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=201001210934)/ 144.229.36.148 : 80 : TXT : JBoss-5.0/JBossWeb-2.1rnExpires: Sun, 27 Nov 2011 09:04:20 GMTrn 144.229.36.147 : 80 : TXT : JBoss-5.0/JBossWeb-2.1rnExpires: Sun, 27 Nov 2011 09:04:20 GMTrn 82.230.168.87 : 8080 : TXT : JBossAS-6rnAccept-Ranges: bytesrnETag: W/"1554-1310895539000"rnL 46.231.186.15 : 8080 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=200807181439)/ 77.242.167.176 : 80 : TXT : JBoss-4.0.5.GA (build: CVSTag=Branch_4_0 date=200610162339)/Tomc 77.242.240.99 : 80 : TXT : JBoss-4.3.0.GA_CP08 (build: SVNTag=JBPAPP_4_3_0_GA_CP08 date=201 85.254.68.40 : 8080 : TXT : JBoss-4.0.1sp1 (build: CVSTag=JBoss_4_0_1_SP1 date=200502160314) 69.5.221.10 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=200904241611) 209.62.23.250 : 80 : TXT : JBoss-4.2.2.GA (build: SVNTag=JBoss_4_2_2_GA date=200710221139)/ 209.62.155.16 : 80 : TXT : JBoss-4.2.0.GA_CP05 (build: SVNTag=JBPAPP_4_2_0_GA_CP05 date=200 209.62.155.17 : 80 : TXT : JBoss-4.2.0.GA_CP05 (build: SVNTag=JBPAPP_4_2_0_GA_CP05 date=200 209.62.173.76 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=201002101307)/ 209.62.173.102 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=200911061539)/ 209.62.173.130 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=201001210934)/ 209.62.173.148 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=201001210934)/ 209.62.173.231 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=201001210934)/ 209.62.173.207 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=201001210934)/ 203.72.158.244 : 8080 : TXT : JBoss-4.0.4.GA (build: CVSTag=JBoss_4_0_4_GA date=200605151000)/ 200.174.238.68 : 80 : TXT : JBoss-5.0/JBossWeb-2.1rnAccept-Ranges: bytesrnETag: W/"291-13220
Identificando o ataque
● Queda de performance do servidor e da rede; ● Número excessivo de requisições para a internet; ● Diretórios .war suspeitos na estrutura do Jboss; ● <JBOSS_HOME>/deploy/management/iesvc.war ● <JBOSS_HOME>/deploy/management/zecmd.war ● Arquivos maliciosos: ● bm.c / bm.h ● pnscan.c ● version.c ● Makefile ● Install-sh ● Ipsort ● kisses.tar.gz ● linda.pl ● javaoslix.pl ● jbossp.d
● LINUX: ● lsof -i | grep pnscan e lsof -i | grep perl perl 14483 acme 3u IPv4 20645122 TCP vitima:55599->user- 84.hbadesign.com:ddi-tcp-1 (CLOSE_WAIT) perl 27910 acme 3u IPv4 19993885 TCP vitima:40901->user- 84.hbadesign.com:ddi-tcp-1 (ESTABLISHED) perl 29854 acme 3u IPv4 12214311 TCP vitima:52894->user- 84.hbadesign.com:ircd (ESTABLISHED)
● Windows: ● Handle ● Process Explorer
Contramedidas Parte 1
● Remover os diretórios .war suspeitos e os arquivos listados anteriormente; ● Parar todos os processos perl e pnscan: ● lsof -i | grep perl | awk '{ print $2}' | xargs kill -9 ● lsof -i | grep pnscan | awk '{ print $2}' | xargs kill -9 ● pids=$(ps aux | grep pnscan | awk '{print $2}'); for i in $pids; do kill -9 $i; done; ● Checar: ● Agendamentos do CRON; ● Diretórios /tmp, /home, /var/tmp.
Contramedidas Parte 2
● Atualizar o JBoss? ● Remover os diretórios jmx-console.war,web-console.war e reiniciar o JBoss: rm -fr <JBOSS_HOME>/server/deploy/jmx-console rm -fr <JBOSS_HOME>/server/deploy/management/console- mgr.sar/web-console.war ● Remover gcc,make...; ● Monitorar as tentativas de ataque através de um IDS (Snort SID 18794) e/ou HIDS; ● Monitorar conexões existentes: ● netstat -tanep |grep LISTEN |grep -v 127.0.0.1 | sort ● Monitorar modificações nos diretórios.
Links ● JBoss Worm Analysis in Details - http://bit.ly/srjgsZ ● CVE-2010-0738 - http://bit.ly/uqg7GE ● Snort SID 18794 - http://bit.ly/teVp8H ● Handle - http://bit.ly/gw0jel ● Process Explorer - http://bit.ly/fzWyfq ● JBoss Worm [jwmr-d] - http://bit.ly/ulToUp
Contatos Emails: alexos@alexos.org alexos@dclabs.com.br Sites: http://www.dclabs.com.br http://alexos.org Twitter:@alexandrosilva

Recommandé

Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...
Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...
Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...CPqD
 
Mrtg
MrtgMrtg
MrtgComandos Linux
 
HTTP 2
HTTP 2HTTP 2
HTTP 2Pedro Araujo
 
MRTG - SNMP na Prática
MRTG - SNMP na PráticaMRTG - SNMP na Prática
MRTG - SNMP na PráticaFrederico Madeira
 
Replicação PostgreSQL com RepManager
Replicação PostgreSQL com RepManagerReplicação PostgreSQL com RepManager
Replicação PostgreSQL com RepManagerVinicius Aquino do Vale
 
Container revolucao
Container revolucaoContainer revolucao
Container revolucaoFernando Ike
 
Squid
SquidSquid
Squidjhmljunior
 
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...Jeronimo Zucco
 

Recommandé

Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...
Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...
Projeto Intervoip - Benchmarking de Servidores DNS/ENUM - UFU - I Workshop CP...CPqD
 
Mrtg
MrtgMrtg
MrtgComandos Linux
 
HTTP 2
HTTP 2HTTP 2
HTTP 2Pedro Araujo
 
MRTG - SNMP na Prática
MRTG - SNMP na PráticaMRTG - SNMP na Prática
MRTG - SNMP na PráticaFrederico Madeira
 
Replicação PostgreSQL com RepManager
Replicação PostgreSQL com RepManagerReplicação PostgreSQL com RepManager
Replicação PostgreSQL com RepManagerVinicius Aquino do Vale
 
Container revolucao
Container revolucaoContainer revolucao
Container revolucaoFernando Ike
 
Squid
SquidSquid
Squidjhmljunior
 
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...Jeronimo Zucco
 
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...Jeronimo Zucco
 
Um milhao de usuários simultâneos
Um milhao de usuários simultâneosUm milhao de usuários simultâneos
Um milhao de usuários simultâneosFernando Ike
 
Gerenciamento de Backups PostgreSQL com pgbarman
Gerenciamento de Backups PostgreSQL com pgbarmanGerenciamento de Backups PostgreSQL com pgbarman
Gerenciamento de Backups PostgreSQL com pgbarmanJuliano Atanazio
 
SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriquesmarleigrolli
 
Hyper Text Transfer Protocol (HTTP)
Hyper Text Transfer Protocol (HTTP)Hyper Text Transfer Protocol (HTTP)
Hyper Text Transfer Protocol (HTTP)elliando dias
 
Monitoração com Nagios
Monitoração com NagiosMonitoração com Nagios
Monitoração com NagiosCristiano Casado
 
Docker volumes
Docker volumesDocker volumes
Docker volumesMarcos-Rafael Machado
 
IT security - Fail2ban, fail2sql e googlemaps (PT Language)
IT security - Fail2ban, fail2sql e googlemaps (PT Language)IT security - Fail2ban, fail2sql e googlemaps (PT Language)
IT security - Fail2ban, fail2sql e googlemaps (PT Language)Carlos Domingues
 
Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...
Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...
Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...Tchelinux
 
Sistema de Banco de Dados Distribuídos
Sistema de Banco de Dados DistribuídosSistema de Banco de Dados Distribuídos
Sistema de Banco de Dados DistribuídosDeroci Nonato Júnior
 
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdt
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdtInstalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdt
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdtAnderson Bassani
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...Alexandro Silva
 
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...Alexandro Silva
 
Rafa
RafaRafa
Rafarafaeljoseaguayo
 
презентация цак 11.02.12
презентация цак 11.02.12презентация цак 11.02.12
презентация цак 11.02.12Tata K
 
Blackberry dan teori bencana telekomunikasi indonesia
Blackberry dan teori bencana telekomunikasi indonesiaBlackberry dan teori bencana telekomunikasi indonesia
Blackberry dan teori bencana telekomunikasi indonesiaJoandi Leonardus
 
Volvofinal
VolvofinalVolvofinal
Volvofinalfoylaure
 
Rafa unit 4
Rafa unit 4Rafa unit 4
Rafa unit 4rafaeljoseaguayo
 
Volvofinal
VolvofinalVolvofinal
Volvofinalfoylaure
 
GlusterFs
GlusterFsGlusterFs
GlusterFsFrederico Madeira
 
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference
 
Docker na vida real
Docker na vida realDocker na vida real
Docker na vida realFernando Ike
 

Contenu connexe

Tendances

Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...Jeronimo Zucco
 
Um milhao de usuários simultâneos
Um milhao de usuários simultâneosUm milhao de usuários simultâneos
Um milhao de usuários simultâneosFernando Ike
 
Gerenciamento de Backups PostgreSQL com pgbarman
Gerenciamento de Backups PostgreSQL com pgbarmanGerenciamento de Backups PostgreSQL com pgbarman
Gerenciamento de Backups PostgreSQL com pgbarmanJuliano Atanazio
 
SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriquesmarleigrolli
 
Hyper Text Transfer Protocol (HTTP)
Hyper Text Transfer Protocol (HTTP)Hyper Text Transfer Protocol (HTTP)
Hyper Text Transfer Protocol (HTTP)elliando dias
 
IT security - Fail2ban, fail2sql e googlemaps (PT Language)
IT security - Fail2ban, fail2sql e googlemaps (PT Language)IT security - Fail2ban, fail2sql e googlemaps (PT Language)
IT security - Fail2ban, fail2sql e googlemaps (PT Language)Carlos Domingues
 
Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...
Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...
Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...Tchelinux
 
Sistema de Banco de Dados Distribuídos
Sistema de Banco de Dados DistribuídosSistema de Banco de Dados Distribuídos
Sistema de Banco de Dados DistribuídosDeroci Nonato Júnior
 
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdt
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdtInstalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdt
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdtAnderson Bassani
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...Alexandro Silva
 

Tendances (12)

Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
 
Um milhao de usuários simultâneos
Um milhao de usuários simultâneosUm milhao de usuários simultâneos
Um milhao de usuários simultâneos
 
Gerenciamento de Backups PostgreSQL com pgbarman
Gerenciamento de Backups PostgreSQL com pgbarmanGerenciamento de Backups PostgreSQL com pgbarman
Gerenciamento de Backups PostgreSQL com pgbarman
 
SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriques
 
Hyper Text Transfer Protocol (HTTP)
Hyper Text Transfer Protocol (HTTP)Hyper Text Transfer Protocol (HTTP)
Hyper Text Transfer Protocol (HTTP)
 
Monitoração com Nagios
Monitoração com NagiosMonitoração com Nagios
Monitoração com Nagios
 
Docker volumes
Docker volumesDocker volumes
Docker volumes
 
IT security - Fail2ban, fail2sql e googlemaps (PT Language)
IT security - Fail2ban, fail2sql e googlemaps (PT Language)IT security - Fail2ban, fail2sql e googlemaps (PT Language)
IT security - Fail2ban, fail2sql e googlemaps (PT Language)
 
Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...
Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...
Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...
 
Sistema de Banco de Dados Distribuídos
Sistema de Banco de Dados DistribuídosSistema de Banco de Dados Distribuídos
Sistema de Banco de Dados Distribuídos
 
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdt
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdtInstalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdt
Instalando um servidor virtual Linux on z (Red hat ou SUSE) no emulador z pdt
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 

En vedette

Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...Alexandro Silva
 
презентация цак 11.02.12
презентация цак 11.02.12презентация цак 11.02.12
презентация цак 11.02.12Tata K
 
Blackberry dan teori bencana telekomunikasi indonesia
Blackberry dan teori bencana telekomunikasi indonesiaBlackberry dan teori bencana telekomunikasi indonesia
Blackberry dan teori bencana telekomunikasi indonesiaJoandi Leonardus
 
Volvofinal
VolvofinalVolvofinal
Volvofinalfoylaure
 
Volvofinal
VolvofinalVolvofinal
Volvofinalfoylaure
 

En vedette (7)

Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...
 
Rafa
RafaRafa
Rafa
 
презентация цак 11.02.12
презентация цак 11.02.12презентация цак 11.02.12
презентация цак 11.02.12
 
Blackberry dan teori bencana telekomunikasi indonesia
Blackberry dan teori bencana telekomunikasi indonesiaBlackberry dan teori bencana telekomunikasi indonesia
Blackberry dan teori bencana telekomunikasi indonesia
 
Volvofinal
VolvofinalVolvofinal
Volvofinal
 
Rafa unit 4
Rafa unit 4Rafa unit 4
Rafa unit 4
 
Volvofinal
VolvofinalVolvofinal
Volvofinal
 

Similaire à F*cking JBoss Pwned

Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference
 
Docker na vida real
Docker na vida realDocker na vida real
Docker na vida realFernando Ike
 
Supervisão e Monitorização
Supervisão e MonitorizaçãoSupervisão e Monitorização
Supervisão e MonitorizaçãoSAPO Sessions
 
WebSocket com Node.js ( socketstream && coffeescript ) X RoR ( Juggernaut )
WebSocket com Node.js ( socketstream && coffeescript ) X RoR ( Juggernaut )WebSocket com Node.js ( socketstream && coffeescript ) X RoR ( Juggernaut )
WebSocket com Node.js ( socketstream && coffeescript ) X RoR ( Juggernaut )João Moura
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores LinuxAlessandro Silva
 
Instalação de um servidor debian
Instalação de um servidor debianInstalação de um servidor debian
Instalação de um servidor debianEduardo Mendes
 
PostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardoPostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardoFabio Telles Rodriguez
 
Criando um site com LAMP e Joomla em 30 minutos
Criando um site com LAMP e Joomla em 30 minutosCriando um site com LAMP e Joomla em 30 minutos
Criando um site com LAMP e Joomla em 30 minutosFernando Mercês
 
PostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardoPostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardoelliando dias
 
Django deploy - Como servir aplicações Django em produção
Django deploy - Como servir aplicações Django em produçãoDjango deploy - Como servir aplicações Django em produção
Django deploy - Como servir aplicações Django em produçãoArtur Felipe Sousa
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxSoftD Abreu
 
Project HA
Project HAProject HA
Project HAKarpv
 
Invasão e proteção de servidores JBoss - FLISOL 2009
Invasão e proteção de servidores JBoss - FLISOL 2009Invasão e proteção de servidores JBoss - FLISOL 2009
Invasão e proteção de servidores JBoss - FLISOL 2009Paulo Renato Lopes Seixas
 
Implementando PSR-3 com Monolog @ PHP Community Summit 2019
Implementando PSR-3 com Monolog @ PHP Community Summit 2019Implementando PSR-3 com Monolog @ PHP Community Summit 2019
Implementando PSR-3 com Monolog @ PHP Community Summit 2019Gabriel Machado
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasAlexandro Silva
 

Similaire à F*cking JBoss Pwned (20)

GlusterFs
GlusterFsGlusterFs
GlusterFs
 
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
 
Docker na vida real
Docker na vida realDocker na vida real
Docker na vida real
 
Supervisão e Monitorização
Supervisão e MonitorizaçãoSupervisão e Monitorização
Supervisão e Monitorização
 
JBoss5 @ FISL
JBoss5 @ FISLJBoss5 @ FISL
JBoss5 @ FISL
 
WebSocket com Node.js ( socketstream && coffeescript ) X RoR ( Juggernaut )
WebSocket com Node.js ( socketstream && coffeescript ) X RoR ( Juggernaut )WebSocket com Node.js ( socketstream && coffeescript ) X RoR ( Juggernaut )
WebSocket com Node.js ( socketstream && coffeescript ) X RoR ( Juggernaut )
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores Linux
 
Asterisk
AsteriskAsterisk
Asterisk
 
Instalação de um servidor debian
Instalação de um servidor debianInstalação de um servidor debian
Instalação de um servidor debian
 
PostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardoPostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardo
 
Criando um site com LAMP e Joomla em 30 minutos
Criando um site com LAMP e Joomla em 30 minutosCriando um site com LAMP e Joomla em 30 minutos
Criando um site com LAMP e Joomla em 30 minutos
 
PostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardoPostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardo
 
Django deploy - Como servir aplicações Django em produção
Django deploy - Como servir aplicações Django em produçãoDjango deploy - Como servir aplicações Django em produção
Django deploy - Como servir aplicações Django em produção
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
Automação de Data Center
Automação de Data CenterAutomação de Data Center
Automação de Data Center
 
Project HA
Project HAProject HA
Project HA
 
Invasão e proteção de servidores JBoss - FLISOL 2009
Invasão e proteção de servidores JBoss - FLISOL 2009Invasão e proteção de servidores JBoss - FLISOL 2009
Invasão e proteção de servidores JBoss - FLISOL 2009
 
02-Flowspec_GTER29
02-Flowspec_GTER2902-Flowspec_GTER29
02-Flowspec_GTER29
 
Implementando PSR-3 com Monolog @ PHP Community Summit 2019
Implementando PSR-3 com Monolog @ PHP Community Summit 2019Implementando PSR-3 com Monolog @ PHP Community Summit 2019
Implementando PSR-3 com Monolog @ PHP Community Summit 2019
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 

Plus de Alexandro Silva

Usando Ansible para Orquestração de Segurança e Conformidade
Usando Ansible para Orquestração de Segurança e ConformidadeUsando Ansible para Orquestração de Segurança e Conformidade
Usando Ansible para Orquestração de Segurança e ConformidadeAlexandro Silva
 
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações WebTecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações WebAlexandro Silva
 
TOR - Navegando na internet sem ser rastreado
TOR - Navegando na internet sem ser rastreadoTOR - Navegando na internet sem ser rastreado
TOR - Navegando na internet sem ser rastreadoAlexandro Silva
 
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Alexandro Silva
 
De volta as origens... Um overview sobre a relação entre o Debian e o Ubuntu
De volta as origens... Um overview sobre a relação entre o Debian e o UbuntuDe volta as origens... Um overview sobre a relação entre o Debian e o Ubuntu
De volta as origens... Um overview sobre a relação entre o Debian e o UbuntuAlexandro Silva
 
Cloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudCloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudAlexandro Silva
 

Plus de Alexandro Silva (6)

Usando Ansible para Orquestração de Segurança e Conformidade
Usando Ansible para Orquestração de Segurança e ConformidadeUsando Ansible para Orquestração de Segurança e Conformidade
Usando Ansible para Orquestração de Segurança e Conformidade
 
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações WebTecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
 
TOR - Navegando na internet sem ser rastreado
TOR - Navegando na internet sem ser rastreadoTOR - Navegando na internet sem ser rastreado
TOR - Navegando na internet sem ser rastreado
 
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
 
De volta as origens... Um overview sobre a relação entre o Debian e o Ubuntu
De volta as origens... Um overview sobre a relação entre o Debian e o UbuntuDe volta as origens... Um overview sobre a relação entre o Debian e o Ubuntu
De volta as origens... Um overview sobre a relação entre o Debian e o Ubuntu
 
Cloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudCloud Computing - Security in the Cloud
Cloud Computing - Security in the Cloud
 

F*cking JBoss Pwned

  • 1. 04 de dezembro 2011 – São Paulo/SP
  • 2. F*ck1ng Pwn3d
  • 3. ●Analista de Segurança da Informação; ● Consultor independente; ● Professor; ● DCLabs Security Team
  • 4. Servidor de aplicações Java baseado no padrão J2EE responsável pela hospedagem, publicação e gerenciamento de portais corporativos. ● Prós: ● Facilidade de implementação, manutenção, escalabilidade e clustering; ● Contras: ● Grande consumidor de recursos, tunning complicado.
  • 6. CVE-2010-0738 – 26/04/2010 ● JMX-Console Authentication Bypass: JBoss Communications Platform 1.2 JBoss Enterprise Application Platform (EAP) 4.2, 4.3, 5.0 JBoss Enterprise Portal Platform (EPP) 4.3 JBoss Application Server (AS) 4.0.x JBoss Enterprise Web Platform (EWP) 5.0 JBoss SOA-Platform (SOA-P) 4.2, 4.3, 5.0
  • 7.
  • 8. Divulgado em Outubro/2011; ● Explora a vulnerabilidade CVE-2010-0738; ● Autenticação do JBoss é insuficiente;
  • 9. 186.192.127.7 : 80 : TXT : JBoss-4.2.2.GA (build: SVNTag=JBoss_4_2_2_GA date=200710221139)/ 212.211.201.58 : 80 : TXT : JBoss-4.0.5.GA (build: CVSTag=Branch_4_0 date=200610162339)/Tomc 67.213.226.244 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=201001210934)/ 144.229.36.148 : 80 : TXT : JBoss-5.0/JBossWeb-2.1rnExpires: Sun, 27 Nov 2011 09:04:20 GMTrn 144.229.36.147 : 80 : TXT : JBoss-5.0/JBossWeb-2.1rnExpires: Sun, 27 Nov 2011 09:04:20 GMTrn 82.230.168.87 : 8080 : TXT : JBossAS-6rnAccept-Ranges: bytesrnETag: W/"1554-1310895539000"rnL 46.231.186.15 : 8080 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=200807181439)/ 77.242.167.176 : 80 : TXT : JBoss-4.0.5.GA (build: CVSTag=Branch_4_0 date=200610162339)/Tomc 77.242.240.99 : 80 : TXT : JBoss-4.3.0.GA_CP08 (build: SVNTag=JBPAPP_4_3_0_GA_CP08 date=201 85.254.68.40 : 8080 : TXT : JBoss-4.0.1sp1 (build: CVSTag=JBoss_4_0_1_SP1 date=200502160314) 69.5.221.10 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=200904241611) 209.62.23.250 : 80 : TXT : JBoss-4.2.2.GA (build: SVNTag=JBoss_4_2_2_GA date=200710221139)/ 209.62.155.16 : 80 : TXT : JBoss-4.2.0.GA_CP05 (build: SVNTag=JBPAPP_4_2_0_GA_CP05 date=200 209.62.155.17 : 80 : TXT : JBoss-4.2.0.GA_CP05 (build: SVNTag=JBPAPP_4_2_0_GA_CP05 date=200 209.62.173.76 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=201002101307)/ 209.62.173.102 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=200911061539)/ 209.62.173.130 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=201001210934)/ 209.62.173.148 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=201001210934)/ 209.62.173.231 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=201001210934)/ 209.62.173.207 : 80 : TXT : JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=201001210934)/ 203.72.158.244 : 8080 : TXT : JBoss-4.0.4.GA (build: CVSTag=JBoss_4_0_4_GA date=200605151000)/ 200.174.238.68 : 80 : TXT : JBoss-5.0/JBossWeb-2.1rnAccept-Ranges: bytesrnETag: W/"291-13220
  • 11. Queda de performance do servidor e da rede; ● Número excessivo de requisições para a internet; ● Diretórios .war suspeitos na estrutura do Jboss; ● <JBOSS_HOME>/deploy/management/iesvc.war ● <JBOSS_HOME>/deploy/management/zecmd.war ● Arquivos maliciosos: ● bm.c / bm.h ● pnscan.c ● version.c ● Makefile ● Install-sh ● Ipsort ● kisses.tar.gz ● linda.pl ● javaoslix.pl ● jbossp.d
  • 12. LINUX: ● lsof -i | grep pnscan e lsof -i | grep perl perl 14483 acme 3u IPv4 20645122 TCP vitima:55599->user- 84.hbadesign.com:ddi-tcp-1 (CLOSE_WAIT) perl 27910 acme 3u IPv4 19993885 TCP vitima:40901->user- 84.hbadesign.com:ddi-tcp-1 (ESTABLISHED) perl 29854 acme 3u IPv4 12214311 TCP vitima:52894->user- 84.hbadesign.com:ircd (ESTABLISHED)
  • 13. Windows: ● Handle ● Process Explorer
  • 14. Contramedidas Parte 1
  • 15. Remover os diretórios .war suspeitos e os arquivos listados anteriormente; ● Parar todos os processos perl e pnscan: ● lsof -i | grep perl | awk '{ print $2}' | xargs kill -9 ● lsof -i | grep pnscan | awk '{ print $2}' | xargs kill -9 ● pids=$(ps aux | grep pnscan | awk '{print $2}'); for i in $pids; do kill -9 $i; done; ● Checar: ● Agendamentos do CRON; ● Diretórios /tmp, /home, /var/tmp.
  • 16. Contramedidas Parte 2
  • 17. Atualizar o JBoss? ● Remover os diretórios jmx-console.war,web-console.war e reiniciar o JBoss: rm -fr <JBOSS_HOME>/server/deploy/jmx-console rm -fr <JBOSS_HOME>/server/deploy/management/console- mgr.sar/web-console.war ● Remover gcc,make...; ● Monitorar as tentativas de ataque através de um IDS (Snort SID 18794) e/ou HIDS; ● Monitorar conexões existentes: ● netstat -tanep |grep LISTEN |grep -v 127.0.0.1 | sort ● Monitorar modificações nos diretórios.
  • 18.
  • 19. Links ● JBoss Worm Analysis in Details - http://bit.ly/srjgsZ ● CVE-2010-0738 - http://bit.ly/uqg7GE ● Snort SID 18794 - http://bit.ly/teVp8H ● Handle - http://bit.ly/gw0jel ● Process Explorer - http://bit.ly/fzWyfq ● JBoss Worm [jwmr-d] - http://bit.ly/ulToUp