目前服务器上感染这个恶意挖矿软件病毒,检测不出病毒,cpu一直百分百,请大神帮忙解决一下
1.查看虚机密码是否被破解登录
如果发现未知ip登录需要及时更换密码
2.查找挖矿文件
挖矿问价一般是会存在 tmp目录下,tmp目录的访问权限是最大的,
3.检查定时任务脚本
一般矿机病毒创建定时脚本来恢复被删除的矿机程序和矿机程序的恢复,重启.
1,第一时间先切断外出的流量,及时止损,确定损失范围(目前权限原因损失的是出口流量)
2,增强对于流量出口的限制.像目前网上已经暴露的一些矿机池的IP源.
3,修改服务器密码,找到矿机程序并删除,检查是否有非自己创建的定时任务
4,针对本次矿机的植入原因是jenkins的高威漏洞(CVE-2018-1999002,CVE-2018-1999043)导致,仔细排查,此次中招的是漏洞是CVE-2018-1999043漏洞,升级到最新的jenkins,修改jenkins的配置
针对高危漏洞CVE-2018-1999002,需要开启Enable security 和取消 Allow users to sign up的选项
jenkins安全权限配置信息
防范
1,jenkins,nexus,redis 都存在可能植入矿机程序的漏洞,对应的服务器做好流量的出入控制.
2,定时修复服务器的密码,关注对应漏洞的发布和及时响应针对漏洞的版本升级.
3,jenkins可能通过跨域访问植入(访问了恶意网站导致jenkins cookie泄露 ),chrome的话可以载入一些检测挖矿脚本的插件,推荐两个