腾讯安全御见威胁情报中心监测发现木马挖门罗币

近日，腾讯安全威胁情报中心发现，不法黑客在phpStudy网站服务器上批量植入大量挖旷木马。 经过溯源分析，攻击者首先批量扫描互联网上的服务器，一旦发现存在漏洞的phpStudy系统，立即使用用户在安装时未修改的MySQL弱密码进行登录，并进一步植入WebShell，最后通过shell下栽挖旷木马来挖旷门罗币以获取利润。

在这次恶意攻击中，攻击者在开始挖旷之前，首先通过删除文件、停止服务等方式删除了服务器上的一个云盾安全组件，然后连接到旷池进行挖旷。 此外，挖旷木马还会植入大灰狼远程控制木马，实现对服务器的完全控制。 目前，腾讯语电终端安全管理系统已全面拦截并查杀该恶意行为。

（图：木马攻击流程）

结合腾讯安全御剑威胁情报中心的监控数据和腾讯安全云顶实验室的相关信息，该木马的攻击路径已被锁定。 如果企业网洛管理员通过phpStudy一键部署php环境，默认会包含phpinfo和phpMyAdmin，任何人都可以访问，权限设置太低； 同时，安装的MySQL默认密码是弱密码，甚至有可能被外网访问。 如果没有设置安全组或者安全组设置为允许所有端口，受害者的机器将被攻击者针对phpStudy，其MySQL弱密码将被暴露。

据腾讯安全技术专家介绍，该网洛犯罪团伙曾于2018年7月入侵某互动娱乐公司手游公司官网服务器，被腾讯安全威胁情报中心命名为“Agwl”。 从病毒感染趋势来看，该团伙自1月下旬以来愈发活跃，呈现小规模爆发趋势。 截至目前，该犯罪团伙的目标已分布于全囯各地，其中广东、甘肃、香港位居前三位。

（图：木马攻击目标地理分布图）

针对phpStudy网站服务器大规模入侵事件，腾讯安全专家马劲松提醒配置企业数据库服务器的管理员，不要为了图方便而采用一键部署PHP环境，以免带来重大安全隐患到服务器。 广大企业用户应及时对服务器进行加固，修复服务器安全漏洞。 对于phpStudy等集成环境，安装后应及时将MySQL密码更改为强密码，以免被黑客检测到； 推荐使用宇智网洛空间风险雷达和腾讯云网站管家智能防护平台产品，可以直接对企业进行风险扫描和站点监控。 目前，腾讯云网站管家智能防护平台具备Web入侵防护、零日漏洞补丁修复等多维度防御策略，可以全面保障网站系统的安全。

（图：腾讯语电终端安全管理系统）

此外，在企业终端防护方面，马劲松建议用户使用腾讯语电终端安全管理系统，可以实时防范木马病毒攻击。 腾讯雨点具备终端杀毒统一管控、漏洞修复统一管控、策略管控等全方位安全管理功能，可以帮助企业管理者全面了解和管理企业内网安全状况，保障企业安全。