V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
xiaozi
V2EX  ›  问与答

被 linux 下的恶意脚本搞跪了,求大神帮助

  •  
  •   xiaozi · 2015-03-08 00:55:26 +08:00 · 3124 次点击
    这是一个创建于 3582 天前的主题,其中的信息可能已经有所发展或是发生改变。
    google 搜到的和 sfewfesfs病毒 有点像。

    现象是这样的:

    在 /tmp /usr/bin /etc/init.d 目录下会产生很多随机文件名的脚本,如果删除了,还会继续产生新的。
    然后这些脚本会耗光 cpu 和 带宽资源;

    cpu使用率飙升是在 03.07 02:00:00 左右,但是我 vps 的 ssh login 在很早之前就已经关闭了密码登录(这鬼畜是怎么进来的);

    另外在 crond, rc.local 中没有发现异常,所以现在没办法从源头上掐断恶意执行文件的生成;

    各位大神,可有良策
    6 条回复    2015-03-08 10:38:32 +08:00
    ryd994
        1
    ryd994  
       2015-03-08 01:28:42 +08:00 via Android
    ps aux找进程啊
    xiaozi
        2
    xiaozi  
    OP
       2015-03-08 08:52:31 +08:00
    @ryd994 进程会一直产生新的出现的
    xiaosong
        3
    xiaosong  
       2015-03-08 09:37:26 +08:00
    悲剧啊,为什么禁用密码登录还被搞了?
    scys
        4
    scys  
       2015-03-08 09:58:39 +08:00
    耐心找找,如果真找不到,就全局更新软件包
    webjin
        5
    webjin  
       2015-03-08 10:25:00 +08:00 via Android
    单用户删除
    msg7086
        6
    msg7086  
       2015-03-08 10:38:32 +08:00   ❤️ 1
    1. 一旦被黑了,不要多想,直接备份数据重装系统。
    2. 先看看你系统补丁有没有打全,有没有用第三方的软件包,自己的网站有没有漏洞,有没有让什么奇怪的东西跑在root上,等等。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5481 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 08:32 · PVG 16:32 · LAX 00:32 · JFK 03:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.