在春节期间爆出了一个利用ThinkPHP框架漏洞的后门程序,可以入侵6种不同发行版本的Linux系统,在入侵Linux系统之后,能让自己永久进驻、执行命令、并下载远端服务器上的木马程序。此后门程序还内建了一个Python脚本程序,可通过另外7个漏洞来感染局域网内的其它设备。
ThinkPHP被发现了一个可以通过filter参数远程执行php命令的漏洞,编号是CVE-2018-20062
CVE-2018-20062An issue was discovered in NoneCms V1.3. thinkphp/library/think/App.phpallows remote attackers to execute arbitrary PHP code via crafted useof the filter parameter, as demonstrated by thes=index/\think\Request/input&filter=phpinfo&data=1 query string.
SpeakUp后门程序最终的目的是在入侵的主机上部署挖矿程序,通过挖矿获利。
挖矿程序需要占用cpu资源,因此,服务器会出现cpu占用300%的情况,对自身服务有很大的影响。
由于Linux.SpeakUp感染的是linux和macos,目前还属于无法被识别的恶意程序。
感染过程:
对于使用ThinkPHP框架的程序,如果没有框架核心程序没有更新到最新,就可能存在上面的漏洞,
通过远程提交的方式,向index.php文件中增加php代码,
通过get方式传递命令,并在系统上执行;
一旦成功污染index.php文件后,通过执行wgt命令,从控制服务器上下载后面脚本,并保存在tmp目录中;
在执行perl命令,运行后门程序,并删除后门脚本。
防范建议:
1,检查服务器上是否存在使用ThinkPHP框架开发的应用程序。
2,对于存在ThinkPHP框架开发的应用程序,检查有没有更新到最新的核心框架。
3,若在linux服务器上存在cpu大量占用,则仔细检查是否存在挖矿程序运行,kill掉挖矿程序。
4,检查应用的index.php文件,是否有被篡改的痕迹。
5,检查是否存在可疑进程,尽早kill掉。
6,Just remember this:You can never be too safe on the internet.
领取专属 10元无门槛券
私享最新 技术干货