1 votes

Skippy le Grand Gourou avatar

Serveur infecté par un récent logiciel malveillant de cryptojacking, mais point d'entrée différent ( ?)

Demandé el 27 de Juillet, 2019
Quand la question a-t-elle été
114 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Un de mes serveurs a été infecté par ce logiciel malveillant de cryptojacking (en rapportant à la même adresse IP que dans l'article).

Il semble connu Ce logiciel malveillant peut se propager par le biais de certaines vulnérabilités de Confluence. mon serveur ne fonctionne pas avec Confluence et le processus appartenait en fait à root Le point d'entrée est donc différent.

Ce logiciel malveillant est-il déjà associé à d'autres vulnérabilités logicielles ? (Je n'en ai pas trouvé.) Existe-t-il des lignes directrices pour trouver ce qui aurait pu être le point d'entrée ? Dois-je signaler ce problème ailleurs ?

Demandé el 27 de Juillet, 2019 par Skippy le Grand Gourou

Réponse

Trop de publicités?

1voto

Skippy le Grand Gourou avatar
Skippy le Grand Gourou Points 1085

Le script tente de créer un cloud_agent.service service sous /etc/systemd/system/ . La dernière modification de ce fichier date du 15 juin, 22:03, et le fichier est détenu par root:Debian-exim ce qui indique que le point d'entrée était Exim.

Les journaux d'Exim indiquent une tentative d'exploitation d'une vulnérabilité d'Exim récemment identifiée à la même date et à la même heure, et l'injection de code se résout à la même IP.

Ce logiciel malveillant a donc été installé par l'intermédiaire de cette vulnérabilité d'Exim .

Répondu el 28 de Juillet, 2019 par Skippy le Grand Gourou (1085 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X