【已回应】中木马，www用户中了挖矿木马

www用户中了挖矿木马，www一直在执行一个进程，cpu消耗100%。现在我已经把执行木马的文件删除了，但是不知道怎么防护www用户再中木马，www这个也没有登录密码

大炮运维V587 · 发表于 2019-1-16 18:24:13

挖矿木马需要root用户运行的。根据您的描述，检查下软件和程序是否存在漏洞。

qrk12 · 发表于 2019-1-16 18:34:15

大炮运维V587 发表于 2019-1-16 18:24
挖矿木马需要root用户运行的。根据您的描述，检查下软件和程序是否存在漏洞。 ...

我上传个进程文件，你看一下， WX20190116-183136@2x.png

应该没有获得root的权限吧？

大炮运维V587 · 发表于 2019-1-17 09:10:32

qrk12 发表于 2019-1-16 18:34
我上传个进程文件，你看一下，
应该没有获得root的权限吧？

你看下你分给www用户的权限是不是777，但是挖矿的必须是root用户才行的。

qrk12 · 发表于 2019-1-17 11:37:46

大炮运维V587 发表于 2019-1-17 09:10
你看下你分给www用户的权限是不是777，但是挖矿的必须是root用户才行的。

找到漏洞了，原来是thinkphp这个框架的getshell漏洞，现在我升级了框架，重装了系统，应该没事了？

大炮运维V587 · 发表于 2019-1-17 11:44:48

qrk12 发表于 2019-1-17 11:37
找到漏洞了，原来是thinkphp这个框架的getshell漏洞，现在我升级了框架，重装了系统，应该没事了？ ...

互联网安全没有绝对的。

qrk12 · 发表于 2019-1-17 12:38:37

大炮运维V587 发表于 2019-1-17 11:44
互联网安全没有绝对的。

明白，谢谢