服务器好像被挖矿了， wnTKYg，怎么弄

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 2609 天前的主题，其中的信息可能已经有所发展或是发生改变。

删了，又有，怎么弄

9 条回复 • 2017-03-11 17:05:26 +08:00

yghack

2017-03-11 15:12:53 +08:00

审查进程
审查文件

ehs2013

2017-03-11 15:13:51 +08:00

重装系统吧。一般人很难斗过 linux rootkit

johncang

2017-03-11 15:18:13 +08:00

@ehs2013 好多东西弄，重装比较麻烦

Gran1987

2017-03-11 15:23:34 +08:00 via iPhone

是否有没被搞之前的镜像？重装一下。

johncang

2017-03-11 15:27:55 +08:00

johncang

2017-03-11 16:14:37 +08:00

@yghack 好的，谢谢

wevsty

2017-03-11 16:19:32 +08:00

一般都是先检查 shell 的 alias ，没有问题的话禁止文件的可执行权限，检查 crontab ，然后 kill 进程，最后删除文件基本上就可以了。
当然还得检查入侵点做好防护。

rogerchen

2017-03-11 16:48:34 +08:00

@ehs2013
要么请专业安全彻底检查，要么重装系统。
想跟靠 rootkit 发家致富的黑产链斗是不现实的。
反正是个权衡的问题，看你服务器安全，服务器现有资料哪个值钱罢了。

zeinipiyan

2017-03-11 17:05:26 +08:00

在哪看出服务器被挖矿了？ CPU ？内存？