服务器好像被挖矿了， wnTKYg，怎么弄

This topic created in 3355 days ago, the information mentioned may be changed or developed.

删了，又有，怎么弄

9 replies • 2017-03-11 17:05:26 +08:00

yghack

Mar 11, 2017

审查进程
审查文件

ehs2013

Mar 11, 2017

重装系统吧。一般人很难斗过 linux rootkit

johncang

Mar 11, 2017

@ehs2013 好多东西弄，重装比较麻烦

Gran1987

Mar 11, 2017 via iPhone

是否有没被搞之前的镜像？重装一下。

johncang

Mar 11, 2017

johncang

Mar 11, 2017

@yghack 好的，谢谢

wevsty

Mar 11, 2017

一般都是先检查 shell 的 alias ，没有问题的话禁止文件的可执行权限，检查 crontab ，然后 kill 进程，最后删除文件基本上就可以了。
当然还得检查入侵点做好防护。

rogerchen

Mar 11, 2017

@ehs2013
要么请专业安全彻底检查，要么重装系统。
想跟靠 rootkit 发家致富的黑产链斗是不现实的。
反正是个权衡的问题，看你服务器安全，服务器现有资料哪个值钱罢了。

zeinipiyan

Mar 11, 2017

在哪看出服务器被挖矿了？ CPU ？内存？