首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

ThinkPHP用户需要提防SpeakUp后门程序

在春节期间爆出了一个利用ThinkPHP框架漏洞的后门程序,可以入侵6种不同发行版本的Linux系统,在入侵Linux系统之后,能让自己永久进驻、执行命令、并下载远端服务器上的木马程序。此后门程序还内建了一个Python脚本程序,可通过另外7个漏洞来感染局域网内的其它设备。

ThinkPHP被发现了一个可以通过filter参数远程执行php命令的漏洞,编号是CVE-2018-20062

CVE-2018-20062An issue was discovered in NoneCms V1.3. thinkphp/library/think/App.phpallows remote attackers to execute arbitrary PHP code via crafted useof the filter parameter, as demonstrated by thes=index/\think\Request/input&filter=phpinfo&data=1 query string.

SpeakUp后门程序最终的目的是在入侵的主机上部署挖矿程序,通过挖矿获利。

挖矿程序需要占用cpu资源,因此,服务器会出现cpu占用300%的情况,对自身服务有很大的影响。

由于Linux.SpeakUp感染的是linux和macos,目前还属于无法被识别的恶意程序。

感染过程:

对于使用ThinkPHP框架的程序,如果没有框架核心程序没有更新到最新,就可能存在上面的漏洞,

通过远程提交的方式,向index.php文件中增加php代码,

通过get方式传递命令,并在系统上执行;

一旦成功污染index.php文件后,通过执行wgt命令,从控制服务器上下载后面脚本,并保存在tmp目录中;

在执行perl命令,运行后门程序,并删除后门脚本。

防范建议:

1,检查服务器上是否存在使用ThinkPHP框架开发的应用程序。

2,对于存在ThinkPHP框架开发的应用程序,检查有没有更新到最新的核心框架。

3,若在linux服务器上存在cpu大量占用,则仔细检查是否存在挖矿程序运行,kill掉挖矿程序。

4,检查应用的index.php文件,是否有被篡改的痕迹。

5,检查是否存在可疑进程,尽早kill掉。

6,Just remember this:You can never be too safe on the internet.

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190217G0M0Y000?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券