騰訊雲防火牆捕獲一黑客團伙利用Jenkins未授權訪問漏洞針對雲服務器的攻擊,若攻擊者利用漏洞攻擊得手,就會通過CURL命令下載shell腳本執行,並繼續通過腳本部署挖礦木馬。騰訊雲防火牆成功攔截了這些攻擊,遭遇攻擊的主機未受損失。通過分析騰訊雲防火牆攔截到的黑客攻擊指令,發現攻擊者在部署挖礦程序的過程中,會修改系統最大內存頁,以達到系統資源的充分利用,並且會多次檢測挖礦進程的狀態,從而對挖礦程序進行保活操作。因其該團伙使用的挖礦賬名為syndarksonig@gmail.com,騰訊威脅情報中心將該挖礦木馬命名為DarkMiner。根據該挖礦團伙使用的挖礦錢包算力估算,該團伙控制了約3000台服務器挖礦。騰訊安全專家建議政企用戶按照以下步驟自查是否遭遇類似攻擊: 檢查服務器是否部署Jenkins組件,如有部署,應繼續檢查是否配置複雜密碼。配置弱密碼的系統極易被入侵; 檢查服務器否存訪問礦池:142.44.242.100; 檢查服務器是否存在惡意文件:/tmp/ .admin_thread,如有及時kill進程並刪除相關文件。 (騰訊安全威脅情報中心)