立即注册  找回密码
 立即注册
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
查看: 61|回复: 6

服务器被黑了?大佬们帮忙看看

[复制链接]

服务器被黑了?大佬们帮忙看看

[复制链接]

21

主题

25

回帖

233

积分

中级会员

积分
233
刘许潘两

21

主题

25

回帖

233

积分

中级会员

积分
233
2023-5-28 14:04:19 | 显示全部楼层 |阅读模式
本帖最后由 刘许潘两 于 2023-5-28 14:09 编辑





系统自动随机生成一个进程,cpu拉满,kill这个进程系统又会随机生成一个,查看网络是指向


ljnxmohqi 3935772 root    3u  IPv4 16044404      0t0  TCP 10.0.0.99:49190->ip97.ip-54-36-15.eu:1525 (ESTABLISHED)





如果使用iptables禁止ip97.ip-54-36-15.eu,又会生成一个ip98.ip-54-36-15.eu


ip是ovh的





回复

使用道具 举报

83

主题

665

回帖

2377

积分

金牌会员

积分
2377
zsj403919383

83

主题

665

回帖

2377

积分

金牌会员

积分
2377
2023-5-28 14:05:57 | 显示全部楼层
hosts文件把域名指向本地,查看进程路径和进程守护下手
回复

使用道具 举报

234

主题

1114

回帖

4332

积分

论坛元老

积分
4332
奧巴马

234

主题

1114

回帖

4332

积分

论坛元老

积分
4332
2023-5-28 14:06:35 | 显示全部楼层
先用iptables干掉1525的出向.
然后再查找进程.干掉进程
回复

使用道具 举报

21

主题

25

回帖

233

积分

中级会员

积分
233
刘许潘两 楼主

21

主题

25

回帖

233

积分

中级会员

积分
233
2023-5-28 14:23:50 | 显示全部楼层

奧巴马 发表于 2023-5-28 14:06

先用iptables干掉1525的出向.
然后再查找进程.干掉进程

禁止了1525,cpu没跑了,但是看这些进程的父进程都是1,chatgpt说这是


由于该进程的父进程是init进程,这意味着它是由系统启动时作为初始化进程创建的子进程。通常情况下,这类进程是由系统初始化脚本、服务或其他系统组件创建的。


系统是甲骨文官方系统
回复

使用道具 举报

74

主题

561

回帖

2506

积分

金牌会员

积分
2506
榆木

74

主题

561

回帖

2506

积分

金牌会员

积分
2506
2023-5-28 14:06:00 | 显示全部楼层
挖矿 需要的话 私聊下 ssh 密码看下
回复

使用道具 举报

12

主题

580

回帖

1520

积分

金牌会员

积分
1520
谷歌浏览器

12

主题

580

回帖

1520

积分

金牌会员

积分
1520
2023-5-28 14:28:33 | 显示全部楼层
开idc有风险 当oneman须谨慎
回复

使用道具 举报

21

主题

25

回帖

233

积分

中级会员

积分
233
刘许潘两 楼主

21

主题

25

回帖

233

积分

中级会员

积分
233
2023-5-28 14:34:12 | 显示全部楼层

榆木 发表于 2023-5-28 14:28

挖矿 需要的话 私聊下 ssh 密码看下

私聊了
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|HS2V主机综合交流论坛

GMT+8, 2024-12-23 12:26 , Processed in 0.021124 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表