设为首页收藏本站
切换到宽版

全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

全球主机交流论坛»论坛 主机综合交流 美国VPS综合讨论 确认被黑了 ,大佬帮帮忙
CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
返回列表 发新帖
查看: 403|回复: 3

确认被黑了 ,大佬帮帮忙

[复制链接]
why?
发表于 2019-7-17 11:27:06 | 显示全部楼层 |阅读模式
本帖最后由 why? 于 2019-7-17 12:44 编辑

25474 smmsp     20   0   97728   9836   2228 D  5.9  0.5   0:14.07 sendmail: MSP: ./x6E6d2pq031779 [127.0.0.1]: user open


发现这个进程一直在跑 还把负载拉高了,kill 后间歇启动

ubuntu16


strace 了一下
发现有读取一些 /etc/passwd 这些密码文件
stat("/etc/localtime", {st_mode=S_IFREG|0644, st_size=414, ...}) = 0
stat("/etc/localtime", {st_mode=S_IFREG|0644, st_size=414, ...}) = 0
open("/proc/loadavg", O_RDONLY)     
open("/etc/services"



有什么查找思路吗

定时任务和开机任务都查了 把sendmail 也删了            

ssh端口改了 用证书登陆的 是不是就剩下webshell 了
回复

举报

yrj
发表于 2019-7-17 11:28:05 | 显示全部楼层
看不懂,有请楼下运维大佬来解答
回复 支持 反对

举报

0000000
发表于 2019-7-17 11:30:17 | 显示全部楼层
apt-get purge sendmail -y
回复 支持 反对

举报

why?
 楼主| 发表于 2019-7-17 11:42:18 | 显示全部楼层
0000000 发表于 2019-7-17 11:30
apt-get purge sendmail -y

我remove 了 过一会也会起来
回复 支持 反对

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-4-20 06:06 , Processed in 0.057381 second(s), 8 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表