正月裡來是新年,剛開始上班我們sine安全團隊,首次挖掘發現了一種新的挖礦木馬,感染性極強,穿透內網,自動嘗試攻擊伺服器以及其他**,通過我們一系列的追蹤,發現了攻擊者的特徵,首先使用thinkphp遠端**執行漏洞,以及ecshop getshell漏洞,phpcms快取寫入漏洞來進行攻擊**,通過**許可權來提權拿到伺服器管理員許可權,利用其中一台伺服器作為中轉,來給其他伺服器下達命令,執行攻擊指令碼,注入挖礦木馬,對一些伺服器的遠端管理員賬號密碼,mysql資料庫的賬號密碼進行暴力猜解。
這個挖礦木馬我們可以命名為豬豬挖礦,之所以這樣起名也是覺得攻擊的特徵,以及繁衍感染的能力太強,我們稱之為豬豬挖礦木馬。關於如何檢測以及防護挖礦木馬,我們通過這篇文章來給大家講解一下,希望大家能夠日後遇到伺服器被挖礦木馬攻擊的時候可以應急處理,讓損失降到最低。
挖礦木馬是2023年底開始大批量爆發的,我們對豬豬挖礦進行了詳細的跟蹤與追查分析,主要是通過thinkphp的**漏洞進行攻擊伺服器,然後在伺服器裡置入木馬後門,以及挖礦木馬,該木馬的特徵如下:內建了許多木馬後門,集合了所有的**漏洞,像thinkphp、discuz、ecshop、wordpress、phpcms、dedecms的漏洞來進行攻擊**。再乙個特徵就是木馬檔案儲存的位置很隱蔽,檔名也是以一些系統的名字來隱藏,檔案具有可複製,重生的功能,通訊採用c與c端的模式,通訊加密採用https,挖礦都是在挖以太坊以及位元幣。
攻擊者最初使用的是thinkphp5的漏洞來攻擊**,然後通過**的許可權來拿到伺服器的root許可權,被挖礦的基本都是linux centos伺服器,然後置入到linux系統裡木馬程序,並將58.65.125.98ip作為母雞,隨時與其通訊,母雞對其下達攻擊命令,進行挖礦而牟利。
針對伺服器被挖礦木馬攻擊的處理及安全解決方案
盡快的公升級thinkphp系統的版本,檢測**源**裡是否留有攻擊者留下的木馬後門,對**開啟硬體防火牆,隨時的檢測攻擊,使用其他**開源系統的運營者,建議盡快公升級**系統到最新版本,對伺服器的遠端埠進行安全限制,管理員的賬號密碼以及資料庫的root賬號密碼都要改為字母+字元+大小寫組合。對伺服器的埠進行安全部署,限制埠的對外開放,**的資料夾許可權進行安全防護,像,以及快取資料夾都進行修改,去掉php指令碼執行許可權,如果實在不懂的話可以找專業的**安全公司來處理。
伺服器被挖礦該怎麼處理例項
正月裡來是新年,剛開始上班我們sine安全團隊,首次挖掘發現了一種新的挖礦 感染性極強,穿透內網,自動嘗試 伺服器以及其他 通過我們一系列的追蹤,發現了 者的特徵,首先使用thinkphp遠端 執行漏洞,以及ecshop getshell漏洞,phpcms快取寫入漏洞來進行 通過 許可權來提權拿到伺...
遊戲伺服器被攻擊怎麼處理?
遊戲伺服器被攻擊怎麼處理?遊戲伺服器不管是個人的仍是企業的,被攻擊都是,很常見的,在所難免的。特別是遊戲新上線時,都要承受的住哪些外來壓力,玩家忽然猛增,被攻擊等等。如果承受不住可能會直接宣告遊戲倒閉。這裡我們一起來說說遊戲伺服器為什麼老被攻擊的一些原因和處理辦法。遊戲伺服器為什麼老被攻擊?原因之一...
Centos 7 4 伺服器 被植入挖礦木馬
背景 最近由於在弄springboot shiro的redis session共享的問題,所以在伺服器上部署了redis,因為沒有太多的考慮所以沒有設定密碼。等到第二天的時候,發現redis外網無法訪問內網可以。檢視埠繫結情況 netstat antlp grep 6379 發現繫結沒有問題 檢視本...