正月里來是新年,剛開始上班我們SINE安全團隊,首次挖掘發(fā)現(xiàn)了一種新的挖礦木馬,感染性極強
北京做網(wǎng)站哪家好,穿透內(nèi)網(wǎng),自動嘗試攻擊服務(wù)器以及其他網(wǎng)站,通過我們一系列的追蹤,發(fā)現(xiàn)了攻擊者的特征,首先使用thinkphp遠程代碼執(zhí)行漏洞
熱麗科技網(wǎng)站案例賞析,以及ecshop getshell漏洞,phpcms緩存寫入漏洞來進行攻擊網(wǎng)站,通過網(wǎng)站權(quán)限來提權(quán)拿到服務(wù)器管理員權(quán)限,利用其中一臺服務(wù)器作為中轉(zhuǎn),來給其他服務(wù)器下達命令,執(zhí)行攻擊腳本,注入挖礦木馬,對一些服務(wù)器的遠程管理員賬號密碼,mysql數(shù)據(jù)庫的賬號密碼進行暴力猜解。
這個挖礦木馬我們可以命名為豬豬挖礦,之所以這樣起名也是覺得攻擊的特征,以及繁衍感染的能力太強,我們稱之為豬豬挖礦木馬。關(guān)于如何檢測以及防護挖礦木馬,我們通過這篇文章來給大家講解一下,希望大家能夠日后遇到服務(wù)器被挖礦木馬攻擊的時候可以應急處理,讓損失降到最低。
挖礦木馬是2018年底開始大批量爆發(fā)的,我們對豬豬挖礦進行了詳細的跟蹤與追查分析,主要是通過thinkphp的網(wǎng)站漏洞進行攻擊服務(wù)器,然后在服務(wù)器里置入木馬后門,以及挖礦木馬,該木馬的特征如下:內(nèi)置了許多木馬后門,集合了所有的網(wǎng)站漏洞,像thinkphp、discuz、ecshop、wordpress、phpcms、dedecms的漏洞來進行攻擊網(wǎng)站。再一個特征就是木馬文件存儲的位置很隱蔽,文件名也是以一些系統(tǒng)的名字來隱藏,文件具有可復制,重生的功能,通信采用C與C端的模式,通信加密采用https,挖礦都是在挖以太坊以及比特幣。
攻擊者最初使用的是thinkphp5的漏洞來攻擊網(wǎng)站,然后通過網(wǎng)站的權(quán)限來拿到服務(wù)器的root權(quán)限,被挖礦的基本都是linux centos服務(wù)器,然后置入到linux系統(tǒng)里木馬進程,并將58.65.125.98IP作為母雞,隨時與其通信,母雞對其下達攻擊命令,進行挖礦而牟利。
針對服務(wù)器被挖礦木馬攻擊的處理及安全解決方案
盡快的升級thinkphp系統(tǒng)的版本,檢測網(wǎng)站源代碼里是否留有攻擊者留下的木馬后門,對網(wǎng)站開啟硬件防火墻,隨時的檢測攻擊,使用其他網(wǎng)站開源系統(tǒng)的運營者,建議盡快升級網(wǎng)站系統(tǒng)到最新版本,對服務(wù)器的遠程端口進行安全限制
馬斯克,管理員的賬號密碼以及數(shù)據(jù)庫的root賬號密碼都要改為字母+字符+大小寫組合。對服務(wù)器的端口進行安全部署,限制端口的對外開放,網(wǎng)站的文件夾權(quán)限進行安全防護,像圖片,以及緩存文件夾都進行修改,去掉PHP腳本執(zhí)行權(quán)限,如果實在不懂的話可以找專業(yè)的網(wǎng)站安全公司來處理。
(鄭重聲明:本文版權(quán)歸搜狐號Sinesafe網(wǎng)站安全所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如有侵權(quán),請聯(lián)系我們刪除;如作者信息標記有誤,請聯(lián)系我們修改。)
,
服務(wù)器被挖礦木馬攻擊該怎么處理 
關(guān)注公眾號 
進入手機版 
點擊咨詢
4006-234-116
返回頂部