【安全资讯】RunMiner挖矿团伙新增漏洞武器：利用Weblogic反序列化漏洞（CVE-2017-10271）攻击主机挖矿

研究人员近期检测到RunMiner挖矿木马团伙使用新增漏洞武器攻击云主机挖矿： 利用weblogic反序列化漏洞（CVE-2017-10271）对云主机发起攻击，攻击成功后执行恶意脚本对Linux、Windows双平台植入挖矿木马，进行门罗币挖矿操作。


RunMiner挖矿木马挖矿前会尝试卸载云主机安装的防护软件，并尝试结束其他占系统资源较高的进程，以清除可能存在的挖矿木马竞争对手。RunMiner挖矿木马团伙的攻击活动会严重影响云主机性能，干扰政企机构正常业务运行。

排查加固：
专家建议weblogic组件若存在漏洞，可能遭受漏洞影响的用户对以下条目进行排查，及时检查、清除是否已被植入挖矿木马。

文件：

Linux:

/tmp/tcpp

Windows:

%USERPROFILE%\Documents\debug\debug.exe

%USERPROFILE%\Documents\debug.bat

进程：

Linux:

tcpp

Windows:

Debug.exe

定时任务：

Linux:

/var/spool/cron/`whoami`

Windows:

%systemroot%\System32\Tasks\SystemProcessDebug

%systemroot%\Tasks\SystemProcessDebug

加固：

建议受影响的用户尽快升级Weblogic组件到最新版本。