為了追求高效率,現(xiàn)在的黑客―般都是通過自動化腳本去掃描互聯(lián)網(wǎng)上所有機器,尋找漏洞然后部署挖礦進程。所以大部分的挖礦都是由于受害者的主機上存在常見的漏洞。比如:
1) 未授權(quán)訪問或弱口令: Redis 未授權(quán)訪問、Docker API未授權(quán)訪問,Hadoop Yarn未授權(quán)訪問、NFS未授權(quán)訪問、Rsync 弱口令,PostareSOL 弱口令、Tomcat弱口令、SSH弱口令、Telnet弱口令、Windows遠程桌面弱口令;
2) 遠程命令執(zhí)行漏洞:WebLogic XML反序列化漏洞、Jenkins反序列化、Jboss遠程代碼執(zhí)行、Spring遠程代碼執(zhí)行、ElasticSearch 命令執(zhí)行、永恒之藍、Struts2系列漏洞、常見CMS的遠程命令執(zhí)行漏洞;
3) 新爆的高危漏洞:一般每次爆發(fā)新的高危漏洞,都會緊跟一波大規(guī)模的全網(wǎng)掃描利用和挖礦。
一旦發(fā)現(xiàn)服務(wù)器被挖礦,應(yīng)該首先查看挖礦進程所屬的用戶,根據(jù)挖礦進程的運行用戶去排查該用戶下是否還運行著其它進程,確定這些進程是否有上述經(jīng)常被黑客利用的漏洞。如果有常見的漏洞,則應(yīng)該重點對此進行排查。
京公網(wǎng)安備 11010802030320號