Один из моих серверов был заражен это вредоносное ПО для криптоджекинга (сообщение на тот же IP, что и в статье).
Кажется известно чтобы это вредоносное ПО могло распространяться через некоторые уязвимости Confluence, однако на моем сервере не работает Confluence, а процесс фактически принадлежал root
, поэтому точка входа другая.
Связано ли это вредоносное ПО с другими уязвимостями программного обеспечения? (Я не смог найти ни одного.) Существуют ли инструкции по поиску того, что могло быть отправной точкой? Следует ли мне сообщать об этой проблеме где-нибудь еще?
Скрипт пытается создать cloud_agent.service
служба под /etc/systemd/system/
. Последнее изменение этого файла датировано 15 июня, 22:03, и файл принадлежит root:Debian-exim
, что указывает на то, что точкой входа был Exim.
Журналы exim`a показывают попытка использовать недавно обнаруженную уязвимость Exim в тот же день и час, и инъекция кода разрешается в тот же IP-адрес.
Значит, зловред был точно установлен через эта уязвимость Exim.