现场使用License Server自带iso安装操作系统,HA部署License Server,外部安全设备检测到被两个宿主机IP地址攻击。攻击的端口信息如下:
1. 登录到操作系统后台,使用“lsof -i :[port]”命令查询端口所属进程信息,发现均为"work32"进程,PID为75371。
2. 使用“ps -p 75371 -f”命令确认异常进程具体目录为“/usr/.work/work32”。
3. 经H3Linux操作系统以及License Server研发确认,正常环境不存在/usr/.work目录,以及这些异常端口均与License Server无关,参考互联网相关案例,怀疑是挖矿病毒。
建议现场进行授权卸载迁移,重装操作系统后,使用卸载码重新激活授权。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作