我被攻击了 求分析
挖矿木马
匿名用户 2018-06-25 18:18:07 2927人浏览

发现服务器经常cpu跑满

还没有进行溯源

腾讯云

评论 11
匿名用户 2018-07-14 00:59:43 回复
对了还有一种可能是 java的框架的漏洞
匿名用户 2018-07-14 00:59:27 回复
估计是 弱口令 或者配置不当
250291575 2018-06-27 18:23:56 回复
就为挖矿?
碧云涛 2018-06-27 01:42:43 回复
- - 没收到过
Myhost 2018-06-26 17:00:44 回复
还有这种操作
webhook 2018-06-26 11:59:57 回复
很强啊,为啥我的蜜罐就收不到这样的样本呢,收到的都是ddos client,连miner都没收到
匿名用户 2018-06-26 20:05:05 回复
回复@webhook: 你的蜜罐有问题
taibai 2018-06-26 10:25:13 回复
nfstruncate rootkit会写入/etc/init.d/nfstruncate,以及/etc/rc*.d/S01nfstruncate,/etc/rc.d/rc*.d/S01nfstruncate开机启动,/bin/nfstruncate,/usr/lib/libiacpkmn.so.3,在/etc/crontab中有恶意定时任务0 */8 * * * root /usr/lib/libiacpkmn.so.3,清除的时候先清除定时任务,然后kill掉恶意进程,再删除上面的文件
taibai 2018-06-26 10:24:58 回复
IsRealColors是一个门罗币矿机,acpidtd是wipefs rootkit的其中一个程序,另外nfstruncate又是一个单独的恶意程序,根据伪装的进程名称列表可以知道和wipefs rootkit攻击者有关
匿名用户 2018-06-25 20:16:46 回复
需要支持么,我明天可以花半小时帮你看下服务器
taibai 2018-06-25 20:11:49 回复
很强,初步看不止一种木马