记录vps被坏人强插sfewfesfs病毒的风云战事

前言:

        这两天日本的linode慢的吐血,查看了下进程,其实当时发现了一个进程名字叫做,sfewfesfs的进程名,原以为是没品位的黄思聪搞的进程名字,也就没有注意。 
也就今天觉得有些蹊跷,就再度搜了下, 一看,是个往外疯狂发包的一个程序,我估计是那种统一接收调度然后ddos或者是cc某个网站的东西,不然不会无意义的发包,难道真的只是发包? 


        话说回来,这是啥原因呀。看了下登陆日志和操作日志,也没发现什么动静,我这人很是节操,不太可能会感染病毒,我估计肯定是黄思聪那兔崽子搞的。 这次算是被强势的强插了。 好了,废话不多说 ! 看看下面的那个进程名,多霸道呀。

被爬虫搞怕了,注释下原文的博客地址,blog.xiaorui.cc



[root@li568-252 ~]# netstat -tunlap|grep sshdd
tcp        0      0 106.186.21.252:43302        115.231.17.9:7168           ESTABLISHED 2434/.sshdd14152782
[root@li568-252 ~]# kill 2434
[root@li568-252 ~]#
[root@li568-252 ~]#
[root@li568-252 ~]# netstat -tunlap|grep sshdd
[root@li568-252 ~]# chattr -i /etc/sfewfesfs*
[root@li568-252 ~]# rm -rf /etc/sfewfesfs*
[root@li568-252 ~]# rm -rf /etc/nhgbhhj
[root@li568-252 ~]# rm -rf /etc/.SSHH2
[root@li568-252 ~]# vim /var/spool/cron/root
[root@li568-252 ~]#
[root@li568-252 ~]# vim /var/spool/cron/root
[root@li568-252 ~]#
[root@li568-252 ~]# vim /var/spool/cron/root


[root@li568-252 ~]# rm -rf  /etc/.SSH2
[root@li568-252 ~]# rm -rf /tmp/.ssh
.sshdd1415532019   .sshhdd1415322016
[root@li568-252 ~]# rm -rf /tmp/.ssh*
[root@li568-252 ~]#

上面说的是清理病毒的过程,再简单说下如何防护你的vps 。  

更换端口号码,不能直接root,定期更换密码, denyhost脚本。 


大家觉得文章对你有些作用! 如果想赏钱,可以用微信扫描下面的二维码,感谢!
另外再次标注博客原地址  xiaorui.cc

发表评论

邮箱地址不会被公开。 必填项已用*标注