正月裡來是新年,剛開始上班我們sine安全團隊,首次挖掘發現了一種新的挖礦***,感染性極強,穿透內網,自動嘗試***伺服器以及其他**,通過我們一系列的追蹤,發現了***者的特徵,首先使用thinkphp遠端**執行漏洞,以及ecshop getshell漏洞,phpcms快取寫入漏洞來進行*****,通過**許可權來提權拿到伺服器管理員許可權,利用其中一台伺服器作為中轉,來給其他伺服器下達命令,執行***指令碼,注入挖礦***,對一些伺服器的遠端管理員賬號密碼,mysql資料庫的賬號密碼進行暴力猜解。
這個挖礦***我們可以命名為豬豬挖礦,之所以這樣起名也是覺得***的特徵,以及繁衍感染的能力太強,我們稱之為豬豬挖礦***。關於如何檢測以及防護挖礦***,我們通過這篇文章來給大家講解一下,希望大家能夠日後遇到伺服器被挖礦******的時候可以應急處理,讓損失降到最低。
挖礦***是2023年底開始大批量爆發的,我們對豬豬挖礦進行了詳細的跟蹤與追查分析,主要是通過thinkphp的**漏洞進行***伺服器,然後在伺服器裡置入***後門,以及挖礦***,該***的特徵如下:內建了許多***後門,集合了所有的**漏洞,像thinkphp、discuz、ecshop、wordpress、phpcms、dedecms的漏洞來進行*****。再乙個特徵就是***檔案儲存的位置很隱蔽,檔名也是以一些系統的名字來隱藏,檔案具有可複製,重生的功能,通訊採用c與c端的模式,通訊加密採用https,挖礦都是在挖以太坊以及位元幣。
***者最初使用的是thinkphp5的漏洞來*****,然後通過**的許可權來拿到伺服器的root許可權,被挖礦的基本都是linux centos伺服器,然後置入到linux系統裡***程序,並將58.65.125.98ip作為母雞,隨時與其通訊,母雞對其下達***命令,進行挖礦而牟利。
針對伺服器被挖礦******的處理及安全解決方案
盡快的公升級thinkphp系統的版本,檢測**源**裡是否留有***者留下的***後門,對**開啟硬體防火牆,隨時的檢測***,使用其他**開源系統的運營者,建議盡快公升級**系統到最新版本,對伺服器的遠端埠進行安全限制,管理員的賬號密碼以及資料庫的root賬號密碼都要改為字母+字元+大小寫組合。對伺服器的埠進行安全部署,限制埠的對外開放,**的資料夾許可權進行安全防護,像,以及快取資料夾都進行修改,去掉php指令碼執行許可權,如果實在不懂的話可以找專業的**安全公司來處理。
伺服器被挖礦木馬攻擊該怎麼處理
正月裡來是新年,剛開始上班我們sine安全團隊,首次挖掘發現了一種新的挖礦木馬,感染性極強,穿透內網,自動嘗試攻擊伺服器以及其他 通過我們一系列的追蹤,發現了攻擊者的特徵,首先使用thinkphp遠端 執行漏洞,以及ecshop getshell漏洞,phpcms快取寫入漏洞來進行攻擊 通過 許可權...
伺服器處理挖礦
使用top查詢程序 某個程序占用cpu或記憶體過分,查之 如 進入目錄,分析裡面的檔案,進入 etc下,分析如update類似的檔案。處理過程 chattr i 檔案 rm rf 檔案 如果是root使用者感染的病毒 vim etc selinux config 將selinux disabled改...
伺服器被植入挖礦病毒的處理
伺服器被植入挖礦病毒的處理 故障描述 一台伺服器一直在向外傳送網路包,導致該網段網路擁堵。同時我司的一台伺服器也出現了同樣的情況,不斷往外發包,導致網段擁堵 經過排查,發現該機器被植入挖礦病毒,部分偽裝成系統檔案,占用cpu及網路,病毒程序分別為 system wipefs ps cranberry...