Как проверить сервер JBoss на уязвимость? (в связи с эпидемией червей)

Question

[Nastradamus]

Я полный нуб в JBoss. Просто в организации используется проприетарный продукт, который основан на JBoss (инсталлятор продукта под Linux устанавливает в отдельную директорию свои jboss, tomcat, mysql и еще кучу всего).

Так вот, как бы проверить его на уязвимость?

PS: подкидываю тему для статьи на хабр.

Answer 1

[Sergey]

Metasploit, Nessus, Acunetics, Rational AppScan, тысячи их.

Answer 2

[Nastradamus]

Вчера на форуме мне ответили:

"

Comments

[Nastradamus]

Проверь можно ли зайти на JMX консоль без пароля — jbossserver:jbossport/jmx-console/
Проверь можно ли зайти на JMX консоль по методу HEAD без авторизации — telnet 127.0.0.1 8080
Trying 127.0.0.1…
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
HEAD /jmx-console/ HTTP/1.0

HTTP/1.1 401 Unauthorized
Server: Apache-Coyote/1.1
Pragma: No-cache
Cache-Control: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 UTC
WWW-Authenticate: Basic realm=«JBoss JMX Console»
Content-Type: text/html;charset=utf-8
Content-Length: 950
Date: Fri, 28 Oct 2011 13:06:05 GMT
Connection: close

Если что либо можно — дела плохи. Нужно латать дырку — поставить пароль на консоль и удалить <http-method>...</http-method> из секции <security-constraint></security-constraint> в %JBOSS_HOME%/server/*/deploy/jmx-console.war/web.xml

Проверить наличие червя можно по наличию файлов linda.pl, flu.pl, kisses.tar.gz, zecmd*, iesvc*. Можно попробовать зайти на бекдор который открывает червь — jbossserver:jbossport/zecmd/zecmd.jsp
Гугл на сегодняшний день выдает более 3000 зараженных машин — www.google.com/search?q=zecmd%2Fzecmd.jsp