绿盟科技应急响应团队发现Weblogic主机被攻击者植入恶意程序,利用Weblogic WLS组件漏洞(CVE-2017-10271)下载并执行虚拟币挖矿程序。受影响的版本包括Weblogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0。用户可通过监控主机系统资源或进程分析方式进行检测,从网络层面可对C&C地址及矿池相关域名/IP进行监控。官方修复方案建议用户及时下载更新包,升级至最新版本进行防护。临时防护方案包括删除WebLogic wls-wsat组件和重启Weblogic域控制器服务。绿盟科技防护建议包括使用绿盟科技的检测类产品与服务。
