哪吒探针遭滥用植入后门,上百台服务器受影响
安全公司 Darktrace 发现,开源服务器监控工具哪吒探针(Nezha)近期被攻击者用作持久化后门和 C2 渠道。攻击者通过 Docker 容器逃逸,在受害服务器上植入修改过的安装脚本,自动注册 agent 并连接至控制面板。由于面板默认无需认证即可查看主机列表,攻击者能够公开暴露被控主机信息,目前已发现 141 台感染服务器,其中 45 台仍在线,多为低配 VPS。
中文技术社区反映,大量用户因服务器产生恶意流量收到主机商的滥用投诉,服务器被暂停或删除,不少用户不得不重装系统。GitHub 上已有专门的清理脚本协助用户彻底删除恶意 agent。安全专家建议立即审计哪吒实例,禁用密码登录、使用 OAuth 认证,并关闭面板的 SSH 执行功能,必要时重装系统。
Darktrace | NodeSeek | GitHub
🌸 在花频道 · 备用频道 · 投稿通道
安全公司 Darktrace 发现,开源服务器监控工具哪吒探针(Nezha)近期被攻击者用作持久化后门和 C2 渠道。攻击者通过 Docker 容器逃逸,在受害服务器上植入修改过的安装脚本,自动注册 agent 并连接至控制面板。由于面板默认无需认证即可查看主机列表,攻击者能够公开暴露被控主机信息,目前已发现 141 台感染服务器,其中 45 台仍在线,多为低配 VPS。
中文技术社区反映,大量用户因服务器产生恶意流量收到主机商的滥用投诉,服务器被暂停或删除,不少用户不得不重装系统。GitHub 上已有专门的清理脚本协助用户彻底删除恶意 agent。安全专家建议立即审计哪吒实例,禁用密码登录、使用 OAuth 认证,并关闭面板的 SSH 执行功能,必要时重装系统。
Darktrace | NodeSeek | GitHub
🌸 在花频道 · 备用频道 · 投稿通道
来自频道: @zaihuapd
⚠️ 评论区加载失败
可能原因:
- 浏览器广告拦截器阻止了 Telegram widget
- 网络连接问题
解决方法: