标签：漏洞 处理 网站 thinkphp 服务器 权限 挖矿

服务器被挖矿******该怎么处理

分类专栏： 服务器安全
版权
正月里来是新年，刚开始上班我们SINE安全团队，首次挖掘发现了一种新的挖矿***，感染性极强，穿透内网，自动尝试***服务器以及其他网站，通过我们一系列的追踪，发现了***者的特征，首先使用thinkphp远程代码执行漏洞，以及ecshop getshell漏洞，phpcms缓存写入漏洞来进行***网站，通过网站权限来提权拿到服务器管理员权限，利用其中一台服务器作为中转，来给其他服务器下达命令，执行***脚本，注入挖矿***，对一些服务器的远程管理员账号密码，mysql数据库的账号密码进行暴力猜解。

这个挖矿***我们可以命名为猪猪挖矿，之所以这样起名也是觉得***的特征，以及繁衍感染的能力太强，我们称之为猪猪挖矿***。关于如何检测以及防护挖矿***，我们通过这篇文章来给大家讲解一下，希望大家能够日后遇到服务器被挖矿******的时候可以应急处理，让损失降到最低。

挖矿***是2018年底开始大批量爆发的，我们对猪猪挖矿进行了详细的跟踪与追查分析，主要是通过thinkphp的网站漏洞进行***服务器，然后在服务器里置入***后门，以及挖矿***，该***的特征如下：内置了许多***后门，集合了所有的网站漏洞，像thinkphp、discuz、ecshop、wordpress、phpcms、dedecms的漏洞来进行***网站。再一个特征就是***文件存储的位置很隐蔽，文件名也是以一些系统的名字来隐藏，文件具有可复制，重生的功能，通信采用C与C端的模式，通信加密采用https，挖矿都是在挖以太坊以及比特币。

***者最初使用的是thinkphp5的漏洞来***网站，然后通过网站的权限来拿到服务器的root权限，被挖矿的基本都是linux centos服务器，然后置入到linux系统里***进程，并将58.65.125.98IP作为母鸡，随时与其通信，母鸡对其下达***命令，进行挖矿而牟利。

针对服务器被挖矿******的处理及安全解决方案

尽快的升级thinkphp系统的版本，检测网站源代码里是否留有***者留下的***后门，对网站开启硬件防火墙，随时的检测***，使用其他网站开源系统的运营者，建议尽快升级网站系统到最新版本，对服务器的远程端口进行安全限制，管理员的账号密码以及数据库的root账号密码都要改为字母+字符+大小写组合。对服务器的端口进行安全部署，限制端口的对外开放，网站的文件夹权限进行安全防护，像图片，以及缓存文件夹都进行修改，去掉PHP脚本执行权限,如果实在不懂的话可以找专业的网站安全公司来处理。

标签：漏洞,处理,网站,thinkphp,服务器,权限,挖矿
来源： https://blog.51cto.com/14149641/2557985

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。