发现感染非凡木马的记录-phpstudy弱口令问题

今天发现一些类似威胁DNS记录,查询后发现为一个小型犯罪团伙“非凡”,从2016年开始一直从事DDoS相关黑色产业的木马。
有部分服务器请求域名www.ffwlll.cc的记录。

下面是相关的威胁情报:
https://x.threatbook.cn/domain/www.ffwlll.cc

样本扫描结果:
https://x.threatbook.cn/report/file/f9ff64cfdd0aacf36174a7a856ea246104b79d7bd834c0cf96fdcb1bb2bc27af

相关的域名记录:
https://x.threatbook.cn/tag/feifan_Operation_su0n9a

排查后发现都是Windows的服务器。
经分析发现存在phpStudy集成环境,存在MySQL弱口令,导致被入侵。

今天发现了不少主机出现这个问题,查了一下相关资料,之前在乌云有记录。

phpStudy是一个PHP调试环境的程序集成包。集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer。

直接访问http://IP/l.php会出现phpStudy探针
进入探针最下方,进行mysql连接检测,mysql用户名、密码均为root,如果连接成功则说明存在漏洞。

我拿了一台有问题的机器试了一下:
20171102114536.png

然后很简单的就可以进去默认phpmyadmin后台:
20171102151028.jpg

输入默认的root即可进去。
20171102151144.jpg

如果黑客再进一步操作,直接批量拿shell。

检查方法:

检查是否安装了phpStudy,一个PHP调试环境的程序集成包。

  1. 直接访问您的http://IP/l.php会出现探针
  2. 进行mysql连接检测,mysql用户名、密码均为root,
  3. 如果连接成功则说明您的服务器存在漏洞。

解决方案:

  1. 删除phpStudy探针
  2. 修改MySQL弱口令
  3. 删除phpmyadmin等不需要使用的组件
  4. 配置MySQL的3306端口禁止外网访问

如果服务器已经被黑,需要重装系统。

————————————————————————————————————-
猫箱内の六轩岛原创文章,转载请保留出处:http://blog.ushiromiyabatora.com

Last modification:November 10th, 2017 at 10:35 am
If you think my article is useful to you, please feel free to appreciate

Leave a Comment