我的一台服务器被感染了这个加密劫持恶意软件(报告给与文章中完全相同的 IP)。
似乎众所周知然而,这种恶意软件却能通过一些 Confluence 漏洞进行传播我的服务器没有运行 Confluence,而该进程实际上归 所有root,因此入口点不同。
此恶意软件是否已与其他软件漏洞相关联?(我找不到任何漏洞。)是否有指南来查找可能的入口点?我是否应该在其他地方报告此问题?
答案1
cloud_agent.service该脚本尝试在 下创建服务/etc/systemd/system/。该文件的最后修改日期为 6 月 15 日 22:03,文件所有者为root:Debian-exim,这表明入口点是 Exim。
Exim 日志显示尝试利用最近发现的 Exim 漏洞在同一日期和时间,代码注入解析到同一个 IP。
因此该恶意软件肯定是通过Exim 漏洞。