警惕一种通过xxl-job植入挖矿病毒的方式

最近不断接到云服务器的报警：
地域：华东地区 (杭州)，时间：2024-07-10 15:10:01(GMT+8:00)，检测到存在待处理的恶意文件：/home/zzz/c3pool/xmrig，威胁等级：严重，您的服务器疑似被黑客入侵，建议您及时确认，避免造成严重损失，请前往主机安全（https://mc.tencent.com/VlOWX）查看详细信息。
登录云服务器，发现/home/zzz目录下确实多了一个c3pool文件夹，该文件夹中有如下四个文件：

其中miner.sh明显就是被注入的挖矿脚本。
于是分析原因，部署的springboot项目中依赖的一些老版本jar包确实存在漏洞，但是全面升级jar包代价太大，只能换一种思路。因为还有其他几台云服务器上同时运行了springboot项目，目前却只有这台服务器中毒，所以得从服务器上运行的项目特点入手分析。该服务器项目中嵌入了一个xxl-job任务执行器，引入的版本是v2.4.0。
在xxl-job官网查看升级日志发现在v2.4.1版本修复了一些漏洞：

于是升级xxl-job版本到v2.4.1。
升级完后部署发现在/home/zzz目录下依然会生成c3pool文件夹。
查看xxl-job-admin的源码，里面的一个配置引起了我的注意

这里的accessToken是调度中心通讯token，一般我们部署执行器的时候可能会忽视（采用默认值），也许这里正是黑客入侵的入口。将accessToken修改成复杂密码重新部署后就再也没有发现有病毒入侵。
道高一尺，魔高一丈，人间正道是沧桑！