正月里来是新年,刚开始上班我们SINE安全团队,首次挖掘发现了一种新的挖矿木马,感染性极强,穿透内网,自动尝试攻击服务器以及其他网站,通过我们一系列的追踪,发现了攻击者的特征,首先使用thinkphp远程代码执行漏洞,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马,对一些服务器的远程管理员账号密码,mysql数据库的账号密码进行暴力猜解。

这个挖矿木马我们可以命名为猪猪挖矿,之所以这样起名也是觉得攻击的特征,以及繁衍感染的能力太强,我们称之为猪猪挖矿木马。关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器被挖矿木马攻击的时候可以应急处理,让损失降到最低。

挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过源代码的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门,集合了所有的网站漏洞来拿网站权限。再一个特征就是木马文件存储的位置很隐蔽,文件名也是以一些系统的名字来隐藏,文件具有可复制,重生的功能,通信采用C与C端的模式,通信加密采用https挖矿。

攻击者最初使用的是网站源代码的漏洞来攻击网站,然后通过网站的权限来拿到服务器的root权限,被挖矿的基本都是linux centos服务器,然后置入到linux系统里木马进程,并将58.65.125.98IP作为母鸡,随时与其通信,母鸡对其下达攻击命令,进行挖矿而牟利。

针对服务器被挖矿木马攻击的处理及安全解决方案

尽快的升级thinkphp系统的版本,检测网站源代码里是否留有攻击者留下的木马后门,对网站开启硬件防火墙,随时的检测攻击,使用其他网站开源系统的运营者,建议尽快升级网站系统到最新版本,对服务器的远程端口进行安全限制,管理员的账号密码以及数据库的root账号密码都要改为字母+字符+大小写组合。对服务器的端口进行安全部署,限制端口的对外开放,网站的文件夹权限进行安全防护,像图片,以及缓存文件夹都进行修改,去掉PHP脚本执行权限,如果实在不懂的话可以找专业的网站安全公司来处理。

服务器被挖矿木马攻击该怎么处理相关推荐

  1. 记一次服务器被挖矿木马攻击的经历

    背景 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为"imWBR1"的进程,查了一 ...

  2. 云服务器ECS挖矿木马病毒处理和解决方案

    云服务器ECS挖矿木马病毒处理和解决方案 参考文章: (1)云服务器ECS挖矿木马病毒处理和解决方案 (2)https://www.cnblogs.com/owenma/p/10430599.html ...

  3. 记一次ubuntu虚拟机被挖矿木马攻击的过程

    事由: 今天发现虚拟机有点卡,用 top 查看发现2个未知进程占用大量CPU,遂查,发现被挖矿木马攻击了. 定位 使用 top 查看: top96058 root 20 0 5263372 60460 ...

  4. 【挖矿木马】记一次被挖矿木马攻击的过程(Redis被攻击)

    不会吧,不会吧,不会2020年了还有人中挖矿木马吧. 0x01.事情经过: 关于这台服务器:我有一台阿里云的服务器(不是学生机)专门拿来做项目测试用的,部署好一些我经常需要用的组件后,平常就没怎么管过 ...

  5. 阿里云服务器中挖矿木马处理过程

    在阿里云租用一台服务器,最近发现被异地登陆,紧接着出现异常下载. 登陆服务器,发现CPU达100%,并且安骑士提示有挖矿进程. 因为对linux系统不是很熟悉,故而边找资料边处理实验,最后记录下来以便 ...

  6. 记一次服务器清除挖矿木马操作记录

    突然接到服务器告警,一台服务器的CPU已经达到了3000%,不用想,肯定是中了木马了,这完全论为了矿机了.问了一堆公司的安全砖家,都说没的救了,需要重新做系统了,但是和开发对接了下,这台服务器上存在众 ...

  7. 阿里云服务器糟挖矿程序攻击

    最近新买的阿里云esc服务器,搭建好环境运行一周多就天天收到安全告警短息,终于昨天搭建的服务崩溃了,CPU和内存达到极限,打阿里云客服也帮不上忙,于是开始了服务器的杀毒操作. 删除恶意脚本文件,直接r ...

  8. 网络安全之认识挖矿木马

    一.什么是挖矿木马? 比特币是以区块链技术为基础的虚拟加密货币,比特币具有匿名性和难以追踪的特点,经过十余年的发展,已成为网络黑产最爱使用的交易媒介.大多数勒索病毒在加密受害者数据后,会勒索代价高昂的 ...

  9. 阿里云服务器提示挖矿程序 该怎么解决

    阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安 ...

  10. 第七十六期:糟糕!服务器被植入挖矿木马,CPU飙升200%

    某日,正在午休中,突然一则噩耗从前线传来:网站不能访问了! 作者:我叫刘半仙 某日,正在午休中,突然一则噩耗从前线传来:网站不能访问了! 图片来自 Pexels 此项目是我负责,线上服务器用的是某讯云 ...

最新文章

  1. 20155334 2016-2017-2 《Java程序设计》第四周学习总结
  2. 浅析μC/OS-II OSTimeDly()函数和OSTimeTick()函数工作原理
  3. 【CUDA开发】Thrust库
  4. Spring Boot 项目的这些文件都是干啥用的?
  5. 信息学奥赛C++语言:斗转星移
  6. numpy+pandas+matplotlib画箱形图
  7. 代码质量度量标准_Google研发度量改进实践
  8. 从SVN资源库下载项目
  9. Atitit.编程语言and 自然语言的比较and 编程语言未来的发展
  10. 技术的好文章和烂文章
  11. v​n​c​服​务​​安​装​与配置
  12. 加密解密之 crypto-js 知识
  13. 区块链开发之Solidity编程基础(一)
  14. AGV小车导航控制 研一《智能控制》课程文献阅读作业
  15. 小酌重构系列[12]——去除上帝类
  16. HTML页面查看world等文件,网页文件 - HTML - 网页基础 - KK的小故事
  17. 12大专场,48个议题,AISummit全球人工智能技术大会火热报名中
  18. ML Notes: Week 2 - Multivariate Linear Regression
  19. Unity提供的消息推送机制
  20. Android自定义View(二)

热门文章

  1. 远程重启h3c路由器_H3C路由器远程登陆命令 -192.168.0.1 路由器怎么设置|192.168.1.1登陆|路由器设置密码-路由器网...
  2. 无法启动程序,.dll不是有效的Win32应用程序
  3. 桌面的快捷方式图标异常
  4. Docker阿里加速器
  5. TCP协议格式和特点
  6. 桌面多了一个计算机,Win10虚拟桌面:一台电脑多个桌面
  7. 高效建站(华为云服务器建站IIS篇)
  8. BufferedImage类、Image类、Graphics类
  9. C04-算法达人修炼营学习安排及方法指导
  10. 环信webIM即时通讯学习笔记