记一次被挖矿的经历

正文

请到「今天看啥」查看全文

很有意思哈，通过jvm的反射机制获取网络上的脚本： http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh，通过这个连接地址我们就能发现这是一个linux下的执行脚本，大概给大家截一下脚本的内容哈，如果大家想细看，可以用这个链接去下载。

看看这个脚本的险恶用心，chmod 777，这是一点情面不留啊

挖矿脚本出现在ES日志中，第一想法就是有黑客利用了ES中的漏洞。 在网上也看到了一些相同遭遇的帖子，这个情况在今年6月13日被安天蜜网暴露出来，是有人利用CVE-2015-1427(ElasticSearch Groovy)远程命令执行漏洞的攻击行为。

以下是一部分网络原文：

从攻击载荷来看，攻击者通过groovy作为脚本语言，向_search?pretty页面发送一段带有恶意链接为http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh的json脚本，进行恶意shell脚本下载，从而实现远程代码攻击，并进行挖矿行为

请到「今天看啥」查看全文