Linux系统又被入侵了

发布于 2022-09-07 08:28:07 字数 515 浏览 31 评论 0

阿里云买了个服务器学习使用,装了wdlinux 系统,已经被入侵很多次了
之前入侵的只能使用快照来还原系统,现在又一次了,心累

正常情况下wdcp 目录是这样的

clipboard.png

我现在的目录是

clipboard.png

这些文件删了又来删了又来,端口禁了又开禁了又自动开了,心好累OO
有人能看下什么情况吗??

检查了下只有一个文件是可以看到的

clipboard.png

killall 命令也被检测了???

这种情况除了还原快照该怎么处理?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(3

尾戒 2022-09-14 08:28:07

到控制台提交工单,让阿里云技术团队帮忙处理

面犯桃花 2022-09-14 08:28:07

题主您好,

您的快照是在什么时候创建的?快照的状态是“干净”,是没被“入侵”的状态吗?

看您的wdcp目录创建时间可能是2017年的了。

个人建议是先从快照中导出网站的数据,之后重置系统后安装新版本的wdcp,再导入网站的数据。

大概就是,换官方新系统,打好补丁。安装新版wdcp面板,再导入数据。

错爱 2022-09-14 08:28:07

首先,一台新的服务器你需要进行安全设置,否则就是果奔。

  1. ssh改端口,或者设置成密钥访问,上强密码,最好可以直接隐藏ssh。
    (多句嘴,ssr通常用来爬墙,其实也是极好的安全工具,你可以把ssh藏在ssr里面)
  2. 关掉不需要的服务,比如pureftpd啥的,这都是窟窿。
  3. 如果你用了wdlinux,那么也就是说跑了php,要关掉高危函数,wdcp后台可以设置,也可以手工修改php.ini

chmod,exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,ini_alter,dl,popen,pcntl_exec,socket_accept,socket_bind,socket_clear_error,socket_close,socket_connect,socket_create_listen,socket_create_pair,socket_create,socket_get_option,socket_getpeername,socket_getsockname,socket_last_error,socket_listen,socket_read,socket_recv,socket_recvfrom,socket_select,socket_send,socket_sendto,socket_set_block,socket_set_nonblock,socket_set_option,socket_shutdown,socket_strerror,socket_write,stream_socket_client,stream_socket_server,pfsockopen,disk_total_space,disk_free_space,chown,diskfreespace,getrusage,get_current_user,getmyuid,getmypid,dl,leak,listen,chgrp,link,symlink,dlopen,proc_nice,proc_get_stats,proc_terminate,shell_exec,sh2_exec,posix_getpwuid,posix_getgrgid,posix_kill,ini_restore,mkfifo,dbmopen,dbase_open,filepro,filepro_rowcount,posix_mkfifo,putenv,sleep

4.最大的不安全,主要还是来自于你的代码。慎用wordpress,这家伙到处是洞,当然了wordpress也有很多安全插件。

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文