前言:
这两天日本的linode慢的吐血,查看了下进程,其实当时发现了一个进程名字叫做,sfewfesfs的进程名,原以为是没品位的黄思聪搞的进程名字,也就没有注意。
也就今天觉得有些蹊跷,就再度搜了下, 一看,是个往外疯狂发包的一个程序,我估计是那种统一接收调度然后ddos或者是cc某个网站的东西,不然不会无意义的发包,难道真的只是发包?
话说回来,这是啥原因呀。看了下登陆日志和操作日志,也没发现什么动静,我这人很是节操,不太可能会感染病毒,我估计肯定是黄思聪那兔崽子搞的。 这次算是被强势的强插了。 好了,废话不多说 ! 看看下面的那个进程名,多霸道呀。
被爬虫搞怕了,注释下原文的博客地址,blog.xiaorui.cc
[root@li568-252 ~]# netstat -tunlap|grep sshdd tcp 0 0 106.186.21.252:43302 115.231.17.9:7168 ESTABLISHED 2434/.sshdd14152782 [root@li568-252 ~]# kill 2434 [root@li568-252 ~]# [root@li568-252 ~]# [root@li568-252 ~]# netstat -tunlap|grep sshdd [root@li568-252 ~]# chattr -i /etc/sfewfesfs* [root@li568-252 ~]# rm -rf /etc/sfewfesfs* [root@li568-252 ~]# rm -rf /etc/nhgbhhj [root@li568-252 ~]# rm -rf /etc/.SSHH2 [root@li568-252 ~]# vim /var/spool/cron/root [root@li568-252 ~]# [root@li568-252 ~]# vim /var/spool/cron/root [root@li568-252 ~]# [root@li568-252 ~]# vim /var/spool/cron/root [root@li568-252 ~]# rm -rf /etc/.SSH2 [root@li568-252 ~]# rm -rf /tmp/.ssh .sshdd1415532019 .sshhdd1415322016 [root@li568-252 ~]# rm -rf /tmp/.ssh* [root@li568-252 ~]#
上面说的是清理病毒的过程,再简单说下如何防护你的vps 。
更换端口号码,不能直接root,定期更换密码, denyhost脚本。
