Сервер заражен недавней вредоносной программой для криптоджекинга, но с другой (?) Точкой входа.
Один из моих серверов был заражен этой вредоносной программой для криптоджекинга (отправляющей сообщение на тот же IP-адрес, что и в статье).
Кажется, известно , что это вредоносное ПО распространяется через некоторые уязвимости Confluence, однако мой сервер не запускает Confluence , и процесс фактически принадлежал root , поэтому точка входа отличается.
Связано ли это вредоносное ПО с другими уязвимостями программного обеспечения? (Я не смог найти ни одного.) Существуют ли инструкции по поиску того, что могло быть отправной точкой? Следует ли мне сообщать об этой проблеме где-нибудь еще?
Сценарий пытается создать службу cloud_agent.service в папке / etc / systemd / system / . Последняя модификация этого файла датирована 15 июня, 22:03, и файл принадлежит root: Debian-exim , что указывает на то, что точкой входа был Exim.
Журналы Exim показывают ] попытка использовать недавно обнаруженную уязвимость Exim в тот же день и час, и инъекция кода разрешает тот же IP.
Таким образом, эта вредоносная программа определенно была установлена через эту уязвимость Exim ].