这是一个创建于 3547 天前的主题,其中的信息可能已经有所发展或是发生改变。
google 搜到的和 sfewfesfs病毒 有点像。
现象是这样的:
在 /tmp /usr/bin /etc/init.d 目录下会产生很多随机文件名的脚本,如果删除了,还会继续产生新的。
然后这些脚本会耗光 cpu 和 带宽资源;
cpu使用率飙升是在 03.07 02:00:00 左右,但是我 vps 的 ssh login 在很早之前就已经关闭了密码登录(这鬼畜是怎么进来的);
另外在 crond, rc.local 中没有发现异常,所以现在没办法从源头上掐断恶意执行文件的生成;
各位大神,可有良策
现象是这样的:
在 /tmp /usr/bin /etc/init.d 目录下会产生很多随机文件名的脚本,如果删除了,还会继续产生新的。
然后这些脚本会耗光 cpu 和 带宽资源;
cpu使用率飙升是在 03.07 02:00:00 左右,但是我 vps 的 ssh login 在很早之前就已经关闭了密码登录(这鬼畜是怎么进来的);
另外在 crond, rc.local 中没有发现异常,所以现在没办法从源头上掐断恶意执行文件的生成;
各位大神,可有良策
 |
1
ryd994 2015-03-08 01:28:42 +08:00 via Android
ps aux找进程啊
|
 |
3
xiaosong 2015-03-08 09:37:26 +08:00
悲剧啊,为什么禁用密码登录还被搞了?
|
 |
4
scys 2015-03-08 09:58:39 +08:00
耐心找找,如果真找不到,就全局更新软件包
|
 |
5
webjin 2015-03-08 10:25:00 +08:00 via Android
单用户删除
|
 |
6
msg7086 2015-03-08 10:38:32 +08:00  1
1. 一旦被黑了,不要多想,直接备份数据重装系统。
2. 先看看你系统补丁有没有打全,有没有用第三方的软件包,自己的网站有没有漏洞,有没有让什么奇怪的东西跑在root上,等等。 |
Select Language