伺服器被挖礦木馬攻擊該怎麼處理
正月裡來是新年,剛開始上班我們SINE安全團隊,首次挖掘發現了一種新的挖礦木馬,感染性極強,穿透內網,自動嘗試攻擊伺服器以及其他網站,通過我們一系列的追蹤,發現了攻擊者的特徵,首先使用thinkphp遠端程式碼執行漏洞,以及ecshop getshell漏洞,phpcms快取寫入漏洞來進行攻擊網站,通過網站許可權來提權拿到伺服器管理員許可權,利用其中一臺伺服器作為中轉,來給其他伺服器下達命令,執行攻擊指令碼,注入挖礦木馬,對一些伺服器的遠端管理員賬號密碼,mysql資料庫的賬號密碼進行暴力猜解。
這個挖礦木馬我們可以命名為豬豬挖礦,之所以這樣起名也是覺得攻擊的特徵,以及繁衍感染的能力太強,我們稱之為豬豬挖礦木馬。關於如何檢測以及防護挖礦木馬,我們通過這篇文章來給大家講解一下,希望大家能夠日後遇到伺服器被挖礦木馬攻擊的時候可以應急處理,讓損失降到最低。
挖礦木馬是2018年底開始大批量爆發的,我們對豬豬挖礦進行了詳細的跟蹤與追查分析,主要是通過thinkphp的網站漏洞進行攻擊伺服器,然後在伺服器裡置入木馬後門,以及挖礦木馬,該木馬的特徵如下:內建了許多木馬後門,集合了所有的網站漏洞,像thinkphp、discuz、ecshop、wordpress、phpcms、dedecms的漏洞來進行攻擊網站。再一個特徵就是木馬檔案儲存的位置很隱蔽,檔名也是以一些系統的名字來隱藏,檔案具有可複製,重生的功能,通訊採用C與C端的模式,通訊加密採用https,挖礦都是在挖以太坊以及比特幣。
攻擊者最初使用的是thinkphp5的漏洞來攻擊網站,然後通過網站的許可權來拿到伺服器的root許可權,被挖礦的基本都是linux centos伺服器,然後置入到linux系統裡木馬程式,並將58.65.125.98IP作為母雞,隨時與其通訊,母雞對其下達攻擊命令,進行挖礦而牟利。
針對伺服器被挖礦木馬攻擊的處理及安全解決方案
儘快的升級thinkphp系統的版本,檢測網站原始碼裡是否留有攻擊者留下的木馬後門,對網站開啟硬體防火牆,隨時的檢測攻擊,使用其他網站開源系統的運營者,建議儘快升級網站系統到最新版本,對伺服器的遠端埠進行安全限制,管理員的賬號密碼以及資料庫的root賬號密碼都要改為字母+字元+大小寫組合。對伺服器的埠進行安全部署,限制埠的對外開放,網站的資料夾許可權進行安全防護,像圖片,以及快取資料夾都進行修改,去掉PHP指令碼執行許可權,如果實在不懂的話可以找專業的網站安全公司來處理。
相關文章
- Muhstik殭屍網路木馬來襲,挖礦、攻擊兩不誤
- 快速定位挖礦木馬 !
- 伺服器遭受攻擊後怎麼處理伺服器
- 伺服器被攻撃, 該如何處理?伺服器
- 挖礦木馬清除日記
- 怎麼防止伺服器被攻擊?伺服器
- 伺服器被攻擊的基本處理辦法伺服器
- 分享一次伺服器被挖礦的處理方法伺服器
- “漏洞利用之王”HolesWarm挖礦木馬新增大量攻擊模組強勢來襲Swarm
- 駭客組織C0594挖礦木馬攻擊 數千個網站已被攻陷!網站
- 【知識分享】 伺服器被攻擊怎麼辦?如何防止伺服器被攻擊伺服器
- 阿里雲伺服器被挖礦怎麼解決阿里伺服器
- 警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦
- 2021年典型挖礦木馬盤點
- 痛心:實驗室伺服器被挖礦怎麼辦?伺服器
- 2021年挖礦木馬趨勢報告
- 【知識分享】怎麼防止伺服器被攻擊伺服器
- 阿里雲伺服器提示挖礦程式 該怎麼解決阿里伺服器
- 企業網路被DDoS攻擊了,該怎麼辦?
- 供應鏈攻擊是什麼?應該如何處理?
- “挖礦木馬”橫行,企業如何避免當“礦工”?
- 網站被攻擊了 該怎麼解決防止被黑客攻擊的問題網站黑客
- WannaMine挖礦木馬再活躍,14萬臺linux系統受攻擊,廣東省為重災區Linux
- “永恆之藍下載器”木馬篡改hosts指向隨機域名 多個漏洞攻擊內網挖礦隨機內網
- 利用Bookworm木馬攻擊泰國政府Worm
- Redis漏洞攻擊植入木馬逆向分析Redis
- 什麼是CC攻擊?網站被CC攻擊該如何防禦?網站
- 什麼是CC攻擊?網站被CC攻擊怎麼辦?網站
- 挖礦木馬猖獗,360安全衛士破解“黑礦工”之困
- Linux挖礦木馬的技術演進探討Linux
- 記一次與挖礦木馬的較量
- 怎樣在網路上發現和阻止加密挖礦攻擊加密
- 記一次伺服器被用來挖礦的異常問題處理伺服器
- 用疫情防控思路解決挖礦木馬風險
- 2018年度回顧:挖礦木馬為什麼會成為病毒木馬黑產的中堅力量
- 伺服器遭受攻擊怎麼辦?伺服器
- 記一次掛馬清除經歷:處理一個利用thinkphp5遠端程式碼執行漏洞挖礦的木馬PHP
- 比特幣暴漲引發挖礦木馬成倍增長,企業如何衝破“木馬圍城”?比特幣