近日，騰訊安全御見威脅情報(bào)中心監(jiān)測發(fā)現(xiàn)，不法黑客針對phpStudy網(wǎng)站服務(wù)器批量植入大量挖礦木馬。經(jīng)溯源分析，攻擊者首先對互聯(lián)網(wǎng)上的服務(wù)器進(jìn)行批量掃描，一旦發(fā)現(xiàn)易受攻擊的phpStudy系統(tǒng)后，隨即利用用戶在安裝時(shí)未進(jìn)行修改的MySQL弱密碼進(jìn)行登錄，并進(jìn)一步植入WebShell，最終通過shell下載挖礦木馬挖門羅幣，以求實(shí)現(xiàn)牟利。

在此次惡意攻擊事件中，攻擊者在開始挖礦前首先會(huì)通過刪除文件、停止服務(wù)等方式移除服務(wù)器上的某云盾安全組件，然后連接礦池進(jìn)行挖礦。此外，挖礦木馬還會(huì)植入大灰狼遠(yuǎn)控木馬，實(shí)現(xiàn)對服務(wù)器的完全控制。目前，騰訊御點(diǎn)終端安全管理系統(tǒng)已對該惡意行為進(jìn)行全面攔截并查殺。

（圖：木馬攻擊流程）

結(jié)合騰訊安全御見威脅情報(bào)中心監(jiān)測數(shù)據(jù)及騰訊安全云鼎實(shí)驗(yàn)室的相關(guān)信息，目前已鎖定了木馬的攻擊途徑。如果企業(yè)網(wǎng)管通過phpStudy一鍵部署php環(huán)境，默認(rèn)情況下會(huì)包含phpinfo及phpMyAdmin，且任何人都可以訪問，權(quán)限設(shè)定太低；同時(shí)安裝的MySQL默認(rèn)口令為弱口令，甚至可能外網(wǎng)訪問。在未設(shè)置安全組或者安全組為放通全端口的情況下，中招的機(jī)器受到攻擊者對于phpStudy的針對性探測，并暴露其MySQL弱口令，入侵的不法黑客便如入無人之境。

據(jù)騰訊安全技術(shù)專家介紹，這個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙曾于2018年7月入侵某互娛公司手游官網(wǎng)服務(wù)器，騰訊安全御見威脅情報(bào)中心將其命名為“Agwl”。從病毒感染趨勢來看，該團(tuán)伙自1月下旬以來日漸活躍，呈小幅度爆發(fā)趨勢。截至目前，該犯罪團(tuán)伙攻擊目標(biāo)在全國各地均有分布，其中，廣東、甘肅、香港位居前三。

（圖：該木馬攻擊目標(biāo)地域分布圖）

對于針對phpStudy網(wǎng)站服務(wù)器的批量入侵行為，騰訊安全專家馬勁松提醒配置企業(yè)數(shù)據(jù)庫服務(wù)器的管理員，切勿因貪圖方便采取一鍵部署php環(huán)境，以免給服務(wù)器帶來重大安全隱患。廣大企業(yè)用戶應(yīng)及時(shí)加固服務(wù)器，修補(bǔ)服務(wù)器安全漏洞，對于phpStudy一類的集成環(huán)境，在安裝結(jié)束后應(yīng)及時(shí)修改MySQL密碼為強(qiáng)密碼，避免被黑客探測入侵；推薦使用御知網(wǎng)絡(luò)空間風(fēng)險(xiǎn)雷達(dá)和騰訊云網(wǎng)站管家智能防護(hù)平臺(tái)產(chǎn)品，可直接對企業(yè)進(jìn)行風(fēng)險(xiǎn)掃描和站點(diǎn)監(jiān)測。目前，騰訊云網(wǎng)站管家智能防護(hù)平臺(tái)已具備Web入侵防護(hù)、0Day漏洞補(bǔ)丁修復(fù)等多緯度防御策略，可全面保護(hù)網(wǎng)站系統(tǒng)安全。

（圖：騰訊御點(diǎn)終端安全管理體系）

此外，針對企業(yè)終端防范方面，馬勁松建議用戶使用騰訊御點(diǎn)終端安全管理系統(tǒng)，可實(shí)時(shí)防范木馬病毒攻擊。騰訊御點(diǎn)具備終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況，保護(hù)企業(yè)安全。