服务器被挖矿的原因

江小悠 14 0

为了追求高效率,现在的黑客一般都是通过自动化脚本去扫描互联网上所有机器,寻找漏洞然后部署挖矿进程。所以大部分的挖矿都是由于受害者的主机上存

在常见的漏洞。比如:
1)未授权访问或弱口令: Redis未授权访问 Docker APl未授权访问, Hadoop Yarn未授权访问、NFS未授权访问、 Rsync弱口令、 PostgresQL弱口令、 Tomcat弱口令、SSH弱口 Telnet令、弱口令、 Windows远程桌面弱口令;
2)远程命令执行漏洞: WebLogic XML反序列化漏洞、 Jenkins反序列化、 Jboss远程代码执行、 Spring远程代码执行、 ElasticSearch命令执行、永恒之蓝、 Struts22系列漏洞、常见CMS的远程命令执行漏洞;
3)新爆的高危漏洞:一般每次爆发新的高危漏洞,都会紧跟一波大规模的全网扫描利用和挖矿。
一旦发现服务器被挖矿,应该首先查看挖矿进程所属的用户,根据挖矿进程的运行用户去排查该用户下是否还运行着其它进程,确定这些进程是否有上述经常被黑客利用的漏洞。如果有常见的漏洞,则应该重点对此进行排查。

发表评论 取消回复
表情 图片 链接 代码

分享