母鸡有没有中 挖矿病毒的可能性？

蛇皮走位

手里有一台小鸡，这家的系统重装后有一个默认的 ROOT 密码，初次登陆后会要求修改 ROOT密码。并且ROOT密码无**常修改，修改的同时会断开连接。
WARNING! The remote SSH server rejected X11 forwarding request.
You are required to change your password immediately (root enforced)
Linux google 4.9.0-7-amd64 #1 SMP Debian 4.9.110-3+deb9u2 (2018-08-13) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sat Nov 3 06:10:08 2018
Changing password for root.
(current) UNIX password:
Connection closing...Socket close.

Connection closed by foreign host.


通过 LINUX GRUB 强制 修改密码后，安装完 宝塔，其他什么都没有安装，通过宝塔关闭了 SSH 端口，发现小鸡仍然被爆，植入挖矿程序，这到底是怎么被爆的

keithe

商家在矿机上卖vps呗，这还不懂！

蛇皮走位

keithe 发表于 2019-1-9 17:28
商家在矿机上卖vps呗，这还不懂！

难道是商家搞鬼？ 每次重置完 ROOT 密码，大约1个小时，ROOT 密码就会被强制修改。

周润发

把这个进程杀掉 试试看 没有道理的 要么就是这个模版有问题 换一个模版试试看

蛇皮走位

周润发 发表于 2019-1-9 17:31
把这个进程杀掉 试试看 没有道理的 要么就是这个模版有问题 换一个模版试试看 ...

没用，杀不掉，并且ROOT 密码被改了。我在宝塔里是关闭 SSH 的。 从 debian 换到 centos 都这样。

tomcb

重装后上去直接先dd重装过一遍

king51

加密安装了解一下

蛇皮走位

tomcb 发表于 2019-1-9 17:52
重装后上去直接先dd重装过一遍

正在DD 论坛大佬的 系统。

Hanyoking

每个机子下来都DD一下系统再搞的我一般= =