Linux系统又被入侵了

Question

阿里云买了个服务器学习使用，装了wdlinux 系统，已经被入侵很多次了
之前入侵的只能使用快照来还原系统,现在又一次了，心累

正常情况下wdcp 目录是这样的

我现在的目录是

这些文件删了又来删了又来，端口禁了又开禁了又自动开了，心好累OO
有人能看下什么情况吗？？

检查了下只有一个文件是可以看到的

killall 命令也被检测了？？？

这种情况除了还原快照该怎么处理？

Answer 1

到控制台提交工单，让阿里云技术团队帮忙处理

Answer 2

题主您好，

您的快照是在什么时候创建的？快照的状态是“干净”，是没被“入侵”的状态吗？

看您的wdcp目录创建时间可能是2017年的了。

个人建议是先从快照中导出网站的数据，之后重置系统后安装新版本的wdcp，再导入网站的数据。

大概就是，换官方新系统，打好补丁。安装新版wdcp面板，再导入数据。

Answer 3

首先，一台新的服务器你需要进行安全设置，否则就是果奔。

1. ssh改端口，或者设置成密钥访问，上强密码，最好可以直接隐藏ssh。
   (多句嘴，ssr通常用来爬墙，其实也是极好的安全工具，你可以把ssh藏在ssr里面)
2. 关掉不需要的服务，比如pureftpd啥的，这都是窟窿。
3. 如果你用了wdlinux，那么也就是说跑了php，要关掉高危函数，wdcp后台可以设置，也可以手工修改php.ini

chmod,exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,ini_alter,dl,popen,pcntl_exec,socket_accept,socket_bind,socket_clear_error,socket_close,socket_connect,socket_create_listen,socket_create_pair,socket_create,socket_get_option,socket_getpeername,socket_getsockname,socket_last_error,socket_listen,socket_read,socket_recv,socket_recvfrom,socket_select,socket_send,socket_sendto,socket_set_block,socket_set_nonblock,socket_set_option,socket_shutdown,socket_strerror,socket_write,stream_socket_client,stream_socket_server,pfsockopen,disk_total_space,disk_free_space,chown,diskfreespace,getrusage,get_current_user,getmyuid,getmypid,dl,leak,listen,chgrp,link,symlink,dlopen,proc_nice,proc_get_stats,proc_terminate,shell_exec,sh2_exec,posix_getpwuid,posix_getgrgid,posix_kill,ini_restore,mkfifo,dbmopen,dbase_open,filepro,filepro_rowcount,posix_mkfifo,putenv,sleep

4.最大的不安全，主要还是来自于你的代码。慎用wordpress，这家伙到处是洞，当然了wordpress也有很多安全插件。