文档章节

服务器被挖矿木马攻击该怎么处理

 网站安全
发布于 02/12 08:53
字数 939
阅读 10
收藏 0

正月里来是新年,刚开始上班我们SINE安全团队,首次挖掘发现了一种新的挖矿木马,感染性极强,穿透内网,自动尝试攻击服务器以及其他网站,通过我们一系列的追踪,发现了攻击者的特征,首先使用thinkphp远程代码执行漏洞,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马,对一些服务器的远程管理员账号密码,mysql数据库的账号密码进行暴力猜解。

这个挖矿木马我们可以命名为猪猪挖矿,之所以这样起名也是觉得攻击的特征,以及繁衍感染的能力太强,我们称之为猪猪挖矿木马。关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器被挖矿木马攻击的时候可以应急处理,让损失降到最低。

挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过thinkphp的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门,集合了所有的网站漏洞,像thinkphp、discuz、ecshop、wordpress、phpcms、dedecms的漏洞来进行攻击网站。再一个特征就是木马文件存储的位置很隐蔽,文件名也是以一些系统的名字来隐藏,文件具有可复制,重生的功能,通信采用C与C端的模式,通信加密采用https,挖矿都是在挖以太坊以及比特币。

攻击者最初使用的是thinkphp5的漏洞来攻击网站,然后通过网站的权限来拿到服务器的root权限,被挖矿的基本都是linux centos服务器,然后置入到linux系统里木马进程,并将58.65.125.98IP作为母鸡,随时与其通信,母鸡对其下达攻击命令,进行挖矿而牟利。

针对服务器被挖矿木马攻击的处理及安全解决方案

尽快的升级thinkphp系统的版本,检测网站源代码里是否留有攻击者留下的木马后门,对网站开启硬件防火墙,随时的检测攻击,使用其他网站开源系统的运营者,建议尽快升级网站系统到最新版本,对服务器的远程端口进行安全限制,管理员的账号密码以及数据库的root账号密码都要改为字母+字符+大小写组合。对服务器的端口进行安全部署,限制端口的对外开放,网站的文件夹权限进行安全防护,像图片,以及缓存文件夹都进行修改,去掉PHP脚本执行权限,如果实在不懂的话可以找专业的网站安全公司来处理。

© 著作权归作者所有

共有 人打赏支持
粉丝 3
博文 87
码字总数 106604
作品 0
青岛
私信 提问
客户的Linux服务器中了挖矿木马攻击 CPU瞬间达到%100

新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接 服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般 会判断为受到了C...

sinesafe
2018/05/31
0
0
不剁手也吃土?可能是挖矿木马掏空你的钱包

“剁手党”们终于度过了“双十一”这个令钱包变瘪的购物节,不过也有许多“佛系买家”并没有参与到这场狂欢中。但是,有几位“佛系”网友反映,自己虽然没有剁手买买买,却因为巨额电费而面临...

又田
2018/11/12
0
0
阿里云提示服务器有挖矿程序 该如何处理

临近2018年底,我们阿里云上的一台ECS服务器竟然被阿里云短信提示有挖矿程序,多次收到阿里云的短信提醒说什么服务器被植入挖矿程序,造成系统资源大量消耗;而且还收到CPU使用率达到百分之9...

网站安全
2018/12/25
0
0
广东重庆多家三甲医院服务器遭暴力入侵,黑客赶走50余款挖矿木马独享挖矿资源

  0×1 背景   腾讯御见威胁情报中心近期检测到广东、重庆多家三甲医院服务器被黑客入侵,攻击者暴力破解医院服务器的远程登录服务,之后利用有道笔记的分享文件功能下载多种挖矿木马。 ...

FreeBuf
2018/07/24
0
0
Apache Struts2高危漏洞致企业服务器被入侵安装KoiMiner挖矿木马

  0×1 概述   许多企业的网站使用Apache的开源项目搭建http服务器,其中又有很大部分使用了Apache子项目Struts。但由于Apache Struts2产品代码存在较多隐患,从2007年开始Struts2就频频...

FreeBuf
2018/07/10
0
0

没有更多内容

加载失败,请刷新页面

加载更多

php register_globals将接收参数转为全局变量

最近在看公司旧的系统的时候发现一个很奇怪的事情,很多页面用的变量找不到源头,没有定义也不是接收,意思是腾空出现的。 经排查,原来是php配置做的好事:register_globals = On。registe...

shikamaru
33分钟前
9
0
Linux 交换分区swap

一、创建和启用swap交换区 如果你的服务器的总是报告内存不足,并且时常因为内存不足而引发服务被强制kill的话,在不增加物理内存的情况下,启用swap交换区作为虚拟内存是一个不错的选择,我...

Yue_Chen
34分钟前
3
0
notepad++如何使用列块编辑模式?

notepad++如何使用列块编辑模式? 听语音 | 浏览:18584 | 更新:2015-12-22 10:56 | 标签:软件 1 2 3 4 5 6 7 分步阅读 notepad++是一款功能强大的文本编辑器,可以支持各种不同的文本类型...

linjin200
36分钟前
1
0
Java 基础语法

一个Java程序可以认为是一系列对象的集合,而这些对象通过调用彼此的方法来协同工作。下面简要介绍下类、对象、方法和实例变量的概念。 对象:对象是类的一个实例,有状态和行为。例如,一条...

二九结狐六体
40分钟前
3
0
研发团队资源成本优化实践

背景 工程师主要面对的是技术挑战,更关注技术层面的目标。研发团队的管理者则会把实现项目成果和业务需求作为核心目标。实际项目中,研发团队所需资源(比如物理机器、内存、硬盘、网络带宽...

美团技术团队
45分钟前
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部