近日,腾讯安全御见威胁情报中心监测发现,不法黑客针对phpStudy网站服务器批量植入大量挖矿木马。经溯源分析,攻击者首先对互联网上的服务器进行批量扫描,一旦发现易受攻击的phpStudy系统后,随即利用用户在安装时未进行修改的MySQL弱密码进行登录,并进一步植入WebShell,最终通过shell下载挖矿木马挖门罗币,以求实现牟利。
在此次恶意攻击事件中,攻击者在开始挖矿前首先会通过删除文件、停止服务等方式移除服务器上的某云盾安全组件,然后连接矿池进行挖矿。此外,挖矿木马还会植入大灰狼远控木马,实现对服务器的完全控制。目前,腾讯御点终端安全管理系统已对该恶意行为进行全面拦截并查杀。
(图:木马攻击流程)
结合腾讯安全御见威胁情报中心监测数据及腾讯安全云鼎实验室的相关信息,目前已锁定了木马的攻击途径。如果企业网管通过phpStudy一键部署php环境,默认情况下会包含phpinfo及phpMyAdmin,且任何人都可以访问,权限设定太低;同时安装的MySQL默认口令为弱口令,甚至可能外网访问。在未设置安全组或者安全组为放通全端口的情况下,中招的机器受到攻击者对于phpStudy的针对性探测,并暴露其MySQL弱口令,入侵的不法黑客便如入无人之境。
据腾讯安全技术专家介绍,这个网络犯罪团伙曾于2018年7月入侵某互娱公司手游官网服务器,腾讯安全御见威胁情报中心将其命名为“Agwl”。从病毒感染趋势来看,该团伙自1月下旬以来日渐活跃,呈小幅度爆发趋势。截至目前,该犯罪团伙攻击目标在全国各地均有分布,其中,广东、甘肃、香港位居前三。
(图:该木马攻击目标地域分布图)
对于针对phpStudy网站服务器的批量入侵行为,腾讯安全专家马劲松提醒配置企业数据库服务器的管理员,切勿因贪图方便采取一键部署php环境,以免给服务器带来重大安全隐患。广大企业用户应及时加固服务器,修补服务器安全漏洞,对于phpStudy一类的集成环境,在安装结束后应及时修改MySQL密码为强密码,避免被黑客探测入侵;推荐使用御知网络空间风险雷达和腾讯云网站管家智能防护平台产品,可直接对企业进行风险扫描和站点监测。目前,腾讯云网站管家智能防护平台已具备Web入侵防护、0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统安全。
(图:腾讯御点终端安全管理体系)
此外,针对企业终端防范方面,马劲松建议用户使用腾讯御点终端安全管理系统,可实时防范木马病毒攻击。腾讯御点具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况,保护企业安全。