linux服务器被黑了-阿里云开发者社区

开发者社区> 开发与运维> 正文
登录阅读全文

linux服务器被黑了

简介:
今天登陆一个服务器,上去安装些软件,运行ps查看进程,天啦,好多scan-ssh进程.这是个才上线的机器,什么也没装,看来中招了.啥原因?设置了简单密码没更改.
 
我们来看看他都干了些什么:
 cd /var/tmp      //传文件到这个目录,一共2个文件a.jpg及z,jpg,挺狡猾的,这样命名文件
  ls
  ls
  tar xvfz a.jpg   //解压文件,然后运行程序start
  cd a
  ./start
  cd ..
  ls
  ls
  tar xvfz z.jpg  //再解压另外一个文件
  cd z
  screen
  clear
   ll
   cd /
   ll
   cd /usr/
   ls
   exit               
 //溜之大吉
 
仔细看了进程,发现除了scan-ssh进程外,还有psscan,sh等未知进程,不管三七二十一,杀了这些进程,然后改系统密码,再查看文件/etc/passwd,看有没有被创建新用户.检查运行级别所在的目录,看是否有异常的启动进程被创建;再看/etc/rc.local等.最后删除目录/var/tmp目录里所有文件及目录。
 
重启系统,再多查几次进程。还好,没有发现别的被破坏的迹象。一般情况,对于有业务的系统,最好备份数据,重新安装系统。
 
这又是一例设置简单密码被黑的实例,大家引以为鉴。
 













本文转自sery51CTO博客,原文链接: http://blog.51cto.com/sery/86455,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享: