服務器被挖礦******該怎麼處理

服務器被挖礦******該怎麼處理

分類專欄： 服務器安全
版權
正月裏來是新年，剛開始上班咱們SINE安全團隊，首次挖掘發現了一種新的挖礦***，感染性極強，穿透內網，自動嘗試***服務器以及其餘網站，經過咱們一系列的追蹤，發現了***者的特徵，首先使用thinkphp遠程代碼執行漏洞，以及ecshop getshell漏洞，phpcms緩存寫入漏洞來進行***網站，經過網站權限來提權拿到服務器管理員權限，利用其中一臺服務器做爲中轉，來給其餘服務器下達命令，執行***腳本，注入挖礦***，對一些服務器的遠程管理員帳號密碼，mysql數據庫的帳號密碼進行暴力猜解。

這個挖礦***咱們能夠命名爲豬豬挖礦，之因此這樣起名也是以爲***的特徵，以及繁衍感染的能力太強，咱們稱之爲豬豬挖礦***。關於如何檢測以及防禦挖礦***，咱們經過這篇文章來給你們講解一下，但願你們可以往後遇到服務器被挖礦******的時候能夠應急處理，讓損失降到最低。

挖礦***是2018年末開始大批量爆發的，咱們對豬豬挖礦進行了詳細的跟蹤與追查分析，主要是經過thinkphp的網站漏洞進行***服務器，而後在服務器裏置入***後門，以及挖礦***，該***的特徵以下：內置了許多***後門，集合了全部的網站漏洞，像thinkphp、discuz、ecshop、wordpress、phpcms、dedecms的漏洞來進行***網站。再一個特徵就是***文件存儲的位置很隱蔽，文件名也是以一些系統的名字來隱藏，文件具備可複製，重生的功能，通訊採用C與C端的模式，通訊加密採用https，挖礦都是在挖以太坊以及比特幣。

***者最初使用的是thinkphp5的漏洞來***網站，而後經過網站的權限來拿到服務器的root權限，被挖礦的基本都是linux centos服務器，而後置入到linux系統裏***進程，並將58.65.125.98IP做爲母雞，隨時與其通訊，母雞對其下達***命令，進行挖礦而牟利。

針對服務器被挖礦******的處理及安全解決方案

儘快的升級thinkphp系統的版本，檢測網站源代碼裏是否留有***者留下的***後門，對網站開啓硬件防火牆，隨時的檢測***，使用其餘網站開源系統的運營者，建議儘快升級網站系統到最新版本，對服務器的遠程端口進行安全限制，管理員的帳號密碼以及數據庫的root帳號密碼都要改成字母+字符+大小寫組合。對服務器的端口進行安所有署，限制端口的對外開放，網站的文件夾權限進行安全防禦，像圖片，以及緩存文件夾都進行修改，去掉PHP腳本執行權限,若是實在不懂的話能夠找專業的網站安全公司來處理。