JbossMiner挖矿攻击
概述
挖矿名称 | JbossMiner |
---|---|
涉及平台 | Windows、Linux服务器或主机 |
相关恶意代码家族 | JbossMiner |
攻击入口 | 利用多种远程执行漏洞和未授权访问漏洞 |
相关漏洞及编号 | jboss漏洞利用模块,structs2利用模块,永恒之蓝利用模块,mysql利用模块,redis利用模块,Tomcat/Axis利用模块 |
描述简介 | JbossMiner主要是通过上述六大漏洞模块进行入侵和传播,并植入挖矿木马获利。其挖矿木马同时支持windows和linux两种平台,根据不同的平台传播不同的payload。 |
自查方法
Linux平台
- 检查是否存在/tmp/hawk 文件
- 检查是否存在/tmp/lower*.sh或/tmp/root*.sh文件
- 检查crontab中是否有可疑的未知定时任务
Windows平台
- 检查是否有名为Update的可疑计划任务和 Updater的可疑启动项
- 检查是否存在%temp%/svthost.exe和%temp%/svshost.exe文件
- 检查是否存在一个rigd32.txt的进程
如何清除
Linux平台
- 删除crontab中可疑的未知定时任务
- 删除/tmp/目录下的bashd、lower*.sh、root*.sh等可疑文件
- 结束第2步发现的各种可疑文件对应的可疑进程。
Windows平台
- 删除可疑的计划任务和启动项
- 结束进程中名为svshost.exe、svthost.exe的进程
- 结束可疑的powershell.exe、regd32.txt等进程
- 清空%temp%目录下的所有缓存文件
如何防护
- 如果不需要使用Windows局域网共享服务,可以通过设置防火墙规则来关闭445等端口
- 修改服务器上的数据库密码,设置为更强壮的密码
- 安装系统补丁和升级产品所使用的类库
- Windows下可以安装安全软件可有效防护该类挖矿病毒的攻击