服务器被挖矿木马攻击该怎么处理

正月里来是新年，刚开始上班咱们SINE安全团队，首次挖掘发现了一种新的挖矿木马，感染性极强，穿透内网，自动尝试攻击服务器以及其余网站，经过咱们一系列的追踪，发现了攻击者的特征，首先使用thinkphp远程代码执行漏洞，以及ecshop getshell漏洞，phpcms缓存写入漏洞来进行攻击网站，经过网站权限来提权拿到服务器管理员权限，利用其中一台服务器做为中转，来给其余服务器下达命令，执行攻击脚本，注入挖矿木马，对一些服务器的远程管理员帐号密码，mysql数据库的帐号密码进行暴力猜解。

这个挖矿木马咱们能够命名为猪猪挖矿，之因此这样起名也是以为攻击的特征，以及繁衍感染的能力太强，咱们称之为猪猪挖矿木马。关于如何检测以及防御挖矿木马，咱们经过这篇文章来给你们讲解一下，但愿你们可以往后遇到服务器被挖矿木马攻击的时候能够应急处理，让损失降到最低。

挖矿木马是2018年末开始大批量爆发的，咱们对猪猪挖矿进行了详细的跟踪与追查分析，主要是经过thinkphp的网站漏洞进行攻击服务器，而后在服务器里置入木马后门，以及挖矿木马，该木马的特征以下：内置了许多木马后门，集合了全部的网站漏洞，像thinkphp、discuz、ecshop、wordpress、phpcms、dedecms的漏洞来进行攻击网站。再一个特征就是木马文件存储的位置很隐蔽，文件名也是以一些系统的名字来隐藏，文件具备可复制，重生的功能，通讯采用C与C端的模式，通讯加密采用https，挖矿都是在挖以太坊以及比特币。

攻击者最初使用的是thinkphp5的漏洞来攻击网站，而后经过网站的权限来拿到服务器的root权限，被挖矿的基本都是linux centos服务器，而后置入到linux系统里木马进程，并将58.65.125.98IP做为母鸡，随时与其通讯，母鸡对其下达攻击命令，进行挖矿而牟利。

针对服务器被挖矿木马攻击的处理及安全解决方案

尽快的升级thinkphp系统的版本，检测网站源代码里是否留有攻击者留下的木马后门，对网站开启硬件防火墙，随时的检测攻击，使用其余网站开源系统的运营者，建议尽快升级网站系统到最新版本，对服务器的远程端口进行安全限制，管理员的帐号密码以及数据库的root帐号密码都要改成字母+字符+大小写组合。对服务器的端口进行安所有署，限制端口的对外开放，网站的文件夹权限进行安全防御，像图片，以及缓存文件夹都进行修改，去掉PHP脚本执行权限,若是实在不懂的话能够找专业的网站安全公司来处理。