最近のクリプトジャッキングマルウェアに感染しているが、エントリポイントが異なる(?)サーバー
私のサーバーの1つが このクリプトジャッキングマルウェア (記事とまったく同じIPに報告)に感染しています。
既知のようです このマルウェアはいくつかのConfluenceの脆弱性を介して伝播しますが、サーバーはConfluenceを実行しません、およびプロセス実際にはrootが所有していたため、エントリポイントは異なります。
このマルウェアはすでに他のソフトウェアの脆弱性に関連付けられていますか? (何も見つかりませんでした。)エントリポイントとなる可能性のあるものを見つけるためのガイドラインはありますか?この問題を他の場所で報告する必要がありますか?
スクリプトは、cloud_agent.serviceの下に/etc/systemd/system/サービスを作成しようとします。このファイルの最後の変更は6月15日22:03であり、ファイルはroot:Debian-eximによって所有されています。これは、エントリポイントがEximであることを示しています。
Eximログには 最近特定されたEximの脆弱性を悪用しようとする試み がまったく同じ日時に表示され、コードインジェクションはまったく同じIPに解決されます。
したがって、このマルウェアは間違いなく このEximの脆弱性 を介してインストールされました。