8220团队挖矿攻击
概述
挖矿名称 | 8220团队挖矿攻击 |
---|---|
涉及平台 | Linux |
相关恶意代码家族 | 未命名 |
攻击入口 | 利用多种远程执行漏洞和未授权访问漏洞 |
相关漏洞及编号 | WebLogic XMLDecoder反序列化漏洞、Drupal的远程任意代码执行漏洞、JBoss反序列化命令执行漏洞、Couchdb的组合漏洞、Redis、Hadoop未授权访问漏洞 |
描述简介 | 8220团伙挖矿攻击是360威胁情报中心发现的挖矿攻击黑客团伙,其主要针对高校相关的Linux服务器实施挖矿攻击。 |
自查方法
1.执行netstat -an命令,存在异常的8220端口连接
2.top命令查看CPU占用率最高的进程名为java,如下图为利用Hadoop未授权访问漏洞攻击
3. 在/var/tmp/目录下存在如java、pscf3、w.conf等名称的文件
4. 执行crontab -u yarn -l命令查看是否存在可疑的定时任务
5. 通过查看/var/log/cron*相关的crontab日志,看是否存在利用wget访问和下载异常的远程shell脚本
如何清除和防护
1.终止挖矿进程,删除/var/tmp下的异常文件
2.删除异常的crontab任务
3.检查是否存在上述漏洞的组件或服务,若存在则更新相关应用和组件到最新4.版本,若组件或服务未配置远程认证访问,则开启相应的认证配置