正月里來(lái)是新年,剛開(kāi)始上班我們SINE安全團(tuán)隊(duì),首次挖掘發(fā)現(xiàn)了一種新的挖礦木馬,感染性極強(qiáng),穿透內(nèi)網(wǎng),自動(dòng)嘗試攻擊服務(wù)器以及其他網(wǎng)站,通過(guò)我們一系列的追蹤,發(fā)現(xiàn)了攻擊者的特征,首先使用thinkphp遠(yuǎn)程代碼執(zhí)行漏洞,以及ecshop getshell漏洞,phpcms緩存寫入漏洞來(lái)進(jìn)行攻擊網(wǎng)站,通過(guò)網(wǎng)站權(quán)限來(lái)提權(quán)拿到服務(wù)器管理員權(quán)限,利用其中一臺(tái)服務(wù)器作為中轉(zhuǎn),來(lái)給其他服務(wù)器下達(dá)命令,執(zhí)行攻擊腳本,注入挖礦木馬,對(duì)一些服務(wù)器的遠(yuǎn)程管理員賬號(hào)密碼,mysql數(shù)據(jù)庫(kù)的賬號(hào)密碼進(jìn)行暴力猜解。
這個(gè)挖礦木馬我們可以命名為豬豬挖礦,之所以這樣起名也是覺(jué)得攻擊的特征,以及繁衍感染的能力太強(qiáng),我們稱之為豬豬挖礦木馬。關(guān)于如何檢測(cè)以及防護(hù)挖礦木馬,我們通過(guò)這篇文章來(lái)給大家講解一下,希望大家能夠日后遇到服務(wù)器被挖礦木馬攻擊的時(shí)候可以應(yīng)急處理,讓損失降到最低。
挖礦木馬是2018年底開(kāi)始大批量爆發(fā)的,我們對(duì)豬豬挖礦進(jìn)行了詳細(xì)的跟蹤與追查分析,主要是通過(guò)thinkphp的網(wǎng)站漏洞進(jìn)行攻擊服務(wù)器,然后在服務(wù)器里置入木馬后門,以及挖礦木馬,該木馬的特征如下:內(nèi)置了許多木馬后門,集合了所有的網(wǎng)站漏洞,像thinkphp、discuz、ecshop、wordpress、phpcms、dedecms的漏洞來(lái)進(jìn)行攻擊網(wǎng)站。再一個(gè)特征就是木馬文件存儲(chǔ)的位置很隱蔽,文件名也是以一些系統(tǒng)的名字來(lái)隱藏,文件具有可復(fù)制,重生的功能,通信采用C與C端的模式,通信加密采用https,挖礦都是在挖以太坊以及比特幣。
攻擊者最初使用的是thinkphp5的漏洞來(lái)攻擊網(wǎng)站,然后通過(guò)網(wǎng)站的權(quán)限來(lái)拿到服務(wù)器的root權(quán)限,被挖礦的基本都是linux centos服務(wù)器,然后置入到linux系統(tǒng)里木馬進(jìn)程,并將58.65.125.98IP作為母雞,隨時(shí)與其通信,母雞對(duì)其下達(dá)攻擊命令,進(jìn)行挖礦而牟利。
針對(duì)服務(wù)器被挖礦木馬攻擊的處理及安全解決方案 盡快的升級(jí)thinkphp系統(tǒng)的版本,檢測(cè)網(wǎng)站源代碼里是否留有攻擊者留下的木馬后門,對(duì)網(wǎng)站開(kāi)啟硬件防火墻,隨時(shí)的檢測(cè)攻擊,使用其他網(wǎng)站開(kāi)源系統(tǒng)的運(yùn)營(yíng)者,建議盡快升級(jí)網(wǎng)站系統(tǒng)到最新版本,對(duì)服務(wù)器的遠(yuǎn)程端口進(jìn)行安全限制,管理員的賬號(hào)密碼以及數(shù)據(jù)庫(kù)的root賬號(hào)密碼都要改為字母+字符+大小寫組合。對(duì)服務(wù)器的端口進(jìn)行安全部署,限制端口的對(duì)外開(kāi)放,網(wǎng)站的文件夾權(quán)限進(jìn)行安全防護(hù),像圖片,以及緩存文件夾都進(jìn)行修改,去掉PHP腳本執(zhí)行權(quán)限,如果實(shí)在不懂的話可以找專業(yè)的網(wǎng)站安全公司來(lái)處理。
(鄭重聲明:本文版權(quán)歸搜狐號(hào)Sinesafe網(wǎng)站安全所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如有侵權(quán),請(qǐng)聯(lián)系我們刪除;如作者信息標(biāo)記有誤,請(qǐng)聯(lián)系我們修改。)
網(wǎng)頁(yè)標(biāo)題:服務(wù)器被挖礦木馬攻擊該怎么處理
網(wǎng)頁(yè)鏈接:http://www.rwnh.cn/news20/112870.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供云服務(wù)器、外貿(mào)網(wǎng)站建設(shè)、虛擬主機(jī)、定制開(kāi)發(fā)、做網(wǎng)站、營(yíng)銷型網(wǎng)站建設(shè)
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源:
創(chuàng)新互聯(lián)