伺服器被挖礦木馬攻擊該怎麼處理

正月裡來是新年，剛開始上班我們SINE安全團隊，首次挖掘發現了一種新的挖礦木馬，感染性極強，穿透內網，自動嘗試攻擊伺服器以及其他網站，通過我們一系列的追蹤，發現了攻擊者的特徵，首先使用thinkphp遠端程式碼執行漏洞，以及ecshop getshell漏洞，phpcms快取寫入漏洞來進行攻擊網站，通過網站許可權來提權拿到伺服器管理員許可權，利用其中一臺伺服器作為中轉，來給其他伺服器下達命令，執行攻擊指令碼，注入挖礦木馬，對一些伺服器的遠端管理員賬號密碼，mysql資料庫的賬號密碼進行暴力猜解。

這個挖礦木馬我們可以命名為豬豬挖礦，之所以這樣起名也是覺得攻擊的特徵，以及繁衍感染的能力太強，我們稱之為豬豬挖礦木馬。關於如何檢測以及防護挖礦木馬，我們通過這篇文章來給大家講解一下，希望大家能夠日後遇到伺服器被挖礦木馬攻擊的時候可以應急處理，讓損失降到最低。

挖礦木馬是2018年底開始大批量爆發的，我們對豬豬挖礦進行了詳細的跟蹤與追查分析，主要是通過thinkphp的網站漏洞進行攻擊伺服器，然後在伺服器裡置入木馬後門，以及挖礦木馬，該木馬的特徵如下：內建了許多木馬後門，集合了所有的網站漏洞，像thinkphp、discuz、ecshop、wordpress、phpcms、dedecms的漏洞來進行攻擊網站。再一個特徵就是木馬檔案儲存的位置很隱蔽，檔名也是以一些系統的名字來隱藏，檔案具有可複製，重生的功能，通訊採用C與C端的模式，通訊加密採用https，挖礦都是在挖以太坊以及比特幣。

攻擊者最初使用的是thinkphp5的漏洞來攻擊網站，然後通過網站的許可權來拿到伺服器的root許可權，被挖礦的基本都是linux centos伺服器，然後置入到linux系統裡木馬程式，並將58.65.125.98IP作為母雞，隨時與其通訊，母雞對其下達攻擊命令，進行挖礦而牟利。

針對伺服器被挖礦木馬攻擊的處理及安全解決方案

儘快的升級thinkphp系統的版本，檢測網站原始碼裡是否留有攻擊者留下的木馬後門，對網站開啟硬體防火牆，隨時的檢測攻擊，使用其他網站開源系統的運營者，建議儘快升級網站系統到最新版本，對伺服器的遠端埠進行安全限制，管理員的賬號密碼以及資料庫的root賬號密碼都要改為字母+字元+大小寫組合。對伺服器的埠進行安全部署，限制埠的對外開放，網站的資料夾許可權進行安全防護，像圖片，以及快取資料夾都進行修改，去掉PHP指令碼執行許可權,如果實在不懂的話可以找專業的網站安全公司來處理。