115啦站长网

 找回密码
 免费注册
  搜索
查看: 266|回复: 0

[国内主机] 服务器被挖矿木马攻击该怎么处理

[复制链接]

17

主题

20

帖子

142

积分

中级会员

Rank: 2

积分
142
发表于 2019-2-14 17:29:32 | 显示全部楼层 |阅读模式
服务器被挖矿木马攻击该怎么处理
新一年,首次挖掘发现了一种新的挖矿木马,感染性极强,穿透内网,自动尝试攻击服务器以及其他网站,通过我们一系列的追踪,发现了攻击者的特征,首先使用thinkphp远程代码执行漏洞,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马,对一些服务器的远程管理员账号密码时,MySQL数据库的账号密码进行暴力猜解。
这个挖矿木马繁衍感染的能力太强,关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器被挖矿木马攻击的时候可以应急处理,让损失降到最低。
挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过thinkphp的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门,集合了所有的网站漏洞,像thinkphp,discuz的,ECSHOP,WordPress的,PHPCMS,DEDECMS的漏洞来进行攻击网站再一个特征就是木马文件存储的位置很隐蔽,文件名也是以一些系统的名字来隐藏,文件具有可复制,重生的功能,通信采用ç与ç端的模式,通信加密采用HTTPS,挖矿都是在挖以太坊以及比特币。
攻击者最初使用的是thinkphp5的漏洞来攻击网站,然后通过网站的权限来拿到服务器的root权限,被挖矿的基本都是
linux centos服务器
,然后置入到linux系统里木马进程,并将58.65 .125.98IP作为母鸡,随时与其通信,母鸡对其下达攻击命令,进行挖矿而牟利。
服务器利用木马攻击的处理和安全解决方案
最新的数十亿条记录是一个难以解决的教训,也就是说,良好的密码是必不可少的,需要更多的工作来确保正确的密码管理。
百分之八十的澳大利亚SailPoint市场脉搏调查受访者承认在工作和个人账户中重复使用密码。这是一个不必要的风险,因为我们继续了解旧漏洞和新威胁(如凭据填充)的影响,为黑客提供了一种利用不遵循密码最佳做法的用户的新方法。
虽然人们无法保护受到攻击的数据,但他们现在可以采取措施保护敏感信息不受影响。
  • 尽快升级thinkphp系统的版本,并检查攻击者是否在网站的源代码中留下了特洛伊木马后门。
  • 打开网站的硬件防火墙
  • 随时检测攻击
  • 运营商使用其他网站开源系统
  • 建议尽快将网站系统升级到最新版本
  • 服务器远程端口的安全限制
  • 管理员的帐户密码和数据库的root帐户密码必须更改为字母+字符+大小写组合
  • 安全地部署服务器的端口
  • 站点的文件夹权限是安全的,如图像和修改缓存文件夹
  • 删除PHP脚本执行权限
  • 选择更长和更复杂的密码,并添加特殊和混合大小写字符。它是独一无二的,不要在不同的网站上使用相同的密码。
电脑被植入挖矿木马的表现:
  • 电脑操作会明显卡慢
  • 散热风扇狂转耗
  • 电量增加显卡
  • CPU等硬件损耗加巨
最后,看看路。请始终注意您在互联网上的位置,并特别注意要求您“登录”或提供任何“秘密”或个人信息的任何人。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

快速回复 返回顶部 返回列表