ThinkPHP用户需要提防SpeakUp后门程序

在春节期间爆出了一个利用ThinkPHP框架漏洞的后门程序，可以入侵6种不同发行版本的Linux系统，在入侵Linux系统之后，能让自己永久进驻、执行命令、并下载远端服务器上的木马程序。此后门程序还内建了一个Python脚本程序，可通过另外7个漏洞来感染局域网内的其它设备。

ThinkPHP被发现了一个可以通过filter参数远程执行php命令的漏洞，编号是CVE-2018-20062

CVE-2018-20062An issue was discovered in NoneCms V1.3. thinkphp/library/think/App.phpallows remote attackers to execute arbitrary PHP code via crafted useof the filter parameter, as demonstrated by thes=index/\think\Request/input&filter=phpinfo&data=1 query string.

SpeakUp后门程序最终的目的是在入侵的主机上部署挖矿程序，通过挖矿获利。

挖矿程序需要占用cpu资源，因此，服务器会出现cpu占用300%的情况，对自身服务有很大的影响。

由于Linux.SpeakUp感染的是linux和macos，目前还属于无法被识别的恶意程序。

感染过程:

对于使用ThinkPHP框架的程序，如果没有框架核心程序没有更新到最新，就可能存在上面的漏洞，

通过远程提交的方式，向index.php文件中增加php代码，

通过get方式传递命令，并在系统上执行；

一旦成功污染index.php文件后，通过执行wgt命令，从控制服务器上下载后面脚本，并保存在tmp目录中；

在执行perl命令，运行后门程序，并删除后门脚本。

防范建议：

1，检查服务器上是否存在使用ThinkPHP框架开发的应用程序。

2，对于存在ThinkPHP框架开发的应用程序，检查有没有更新到最新的核心框架。

3，若在linux服务器上存在cpu大量占用，则仔细检查是否存在挖矿程序运行，kill掉挖矿程序。

4，检查应用的index.php文件，是否有被篡改的痕迹。

5，检查是否存在可疑进程，尽早kill掉。

6，Just remember this:You can never be too safe on the internet.