服务器被最近的加密劫持恶意软件感染,但入口点不同(?)

服务器被最近的加密劫持恶意软件感染,但入口点不同(?)

我的一台服务器被感染了这个加密劫持恶意软件(报告给与文章中完全相同的 IP)。

似乎众所周知然而,这种恶意软件却能通过一些 Confluence 漏洞进行传播我的服务器没有运行 Confluence,而该进程实际上归 所有root,因此入口点不同。

此恶意软件是否已与其他软件漏洞相关联?(我找不到任何漏洞。)是否有指南来查找可能的入口点?我是否应该在其他地方报告此问题?

答案1

cloud_agent.service该脚本尝试在 下创建服务/etc/systemd/system/。该文件的最后修改日期为 6 月 15 日 22:03,文件所有者为root:Debian-exim,这表明入口点是 Exim。

Exim 日志显示尝试利用最近发现的 Exim 漏洞在同一日期和时间,代码注入解析到同一个 IP。

因此该恶意软件肯定是通过Exim 漏洞

相关内容