预警Agwl团伙利用phpStud

白癜风检查到中科 https://mjbk.familydoctor.com.cn/bjbdfyy/

近日,腾讯安全御见威胁情报中心监测发现,不法黑客针对phpStudy网站服务器批量植入大量挖矿木马。经溯源分析,攻击者首先对互联网上的服务器进行批量扫描,一旦发现易受攻击的phpStudy系统后,随即利用用户在安装时未进行修改的MySQL弱密码进行登录,并进一步植入WebShell,最终通过shell下载挖矿木马挖门罗币,以求实现牟利。

在此次恶意攻击事件中,攻击者在开始挖矿前首先会通过删除文件、停止服务等方式移除服务器上的某云盾安全组件,然后连接矿池进行挖矿。此外,挖矿木马还会植入大灰狼远控木马,实现对服务器的完全控制。目前,腾讯御点终端安全管理系统已对该恶意行为进行全面拦截并查杀。

(图:木马攻击流程)

结合腾讯安全御见威胁情报中心监测数据及腾讯安全云鼎实验室的相关信息,目前已锁定了木马的攻击途径。如果企业网管通过phpStudy一键部署php环境,默认情况下会包含phpinfo及phpMyAdmin,且任何人都可以访问,权限设定太低;同时安装的MySQL默认口令为弱口令,甚至可能外网访问。在未设置安全组或者安全组为放通全端口的情况下,中招的机器受到攻击者对于phpStudy的针对性探测,并暴露其MySQL弱口令,入侵的不法黑客便如入无人之境。

据腾讯安全技术专家介绍,这个网络犯罪团伙曾于年7月入侵某互娱公司手游


转载请注明:http://www.aierlanlan.com/tzrz/4023.html