Назад | Перейти на главную страницу

Сервер заражен недавним вредоносным ПО для криптоджекинга, но другая (?) Точка входа

Один из моих серверов был заражен это вредоносное ПО для криптоджекинга (сообщение на тот же IP, что и в статье).

Кажется известно чтобы это вредоносное ПО могло распространяться через некоторые уязвимости Confluence, однако на моем сервере не работает Confluence, а процесс фактически принадлежал root, поэтому точка входа другая.

Связано ли это вредоносное ПО с другими уязвимостями программного обеспечения? (Я не смог найти ни одного.) Существуют ли инструкции по поиску того, что могло быть отправной точкой? Следует ли мне сообщать об этой проблеме где-нибудь еще?

Скрипт пытается создать cloud_agent.service служба под /etc/systemd/system/. Последнее изменение этого файла датировано 15 июня, 22:03, и файл принадлежит root:Debian-exim, что указывает на то, что точкой входа был Exim.

Журналы exim`a показывают попытка использовать недавно обнаруженную уязвимость Exim в тот же день и час, и инъекция кода разрешается в тот же IP-адрес.

Значит, зловред был точно установлен через эта уязвимость Exim.