标题:
[求助]
貌似我的wdcp被黑了,后台加了个system用户,还建了个网站
[打印本页]
作者:
freemansxh
时间:
2012-7-22 20:48
标题:
貌似我的wdcp被黑了,后台加了个system用户,还建了个网站
求助啊!要怎么做来清除并防御再次被黑?
作者:
freemansxh
时间:
2012-7-22 20:57
本帖最后由 freemansxh 于 2012-7-22 21:00 编辑
在防火墙设置里开了好些端口,什么943,5566,59999:61000之类的
作者:
freemansxh
时间:
2012-7-22 21:05
系统启动服务 当前运行及随机启动 | 所有服务
ID 程序名 当前状态 随机启动 操作
1 abrt-ccpp 运行中... 是 关闭 禁止自启动 重启
2 abrt-oops 运行中... 是 关闭 禁止自启动 重启
3 abrtd 运行中... 是 关闭 禁止自启动 重启
4 acpid 运行中... 是 关闭 禁止自启动 重启
5 atd 运行中... 是 关闭 禁止自启动 重启
6 auditd 运行中... 是 关闭 禁止自启动 重启
7 avahi-daemon 运行中... 是 关闭 禁止自启动 重启
8 cpuspeed 运行中... 是 关闭 禁止自启动 重启
9 crond 运行中... 是 关闭 禁止自启动 重启
10 dkms_autoinstaller 运行中... 是 关闭 禁止自启动 重启
11 haldaemon 运行中... 是 关闭 禁止自启动 重启
12 httpd 运行中... 是 关闭 禁止自启动 重启
13 ip6tables 运行中... 是 关闭 禁止自启动 重启
14 ipsec 运行中... 是 关闭 禁止自启动 重启
15 iptables 运行中... 是 关闭 禁止自启动 重启
16 irqbalance 运行中... 是 关闭 禁止自启动 重启
17 mdmonitor 运行中... 是 关闭 禁止自启动 重启
18 memcached 运行中... 是 关闭 禁止自启动 重启
19 messagebus 运行中... 是 关闭 禁止自启动 重启
20 mysqld 运行中... 是 关闭 禁止自启动 重启
21 netfs 运行中... 是 关闭 禁止自启动 重启
22 network 运行中... 是 关闭 禁止自启动 重启
23 nginxd 运行中... 是 关闭 禁止自启动 重启
24 openvpnas 运行中... 是 关闭 禁止自启动 重启
25 pureftpd 运行中... 是 关闭 禁止自启动 重启
26 rsyslog 运行中... 是 关闭 禁止自启动 重启
27 snmpd 运行中... 是 关闭 禁止自启动 重启
28 sshd 运行中... 是 关闭 禁止自启动 重启
29 sysstat 运行中... 是 关闭 禁止自启动 重启
30 udev-post 运行中... 是 关闭 禁止自启动 重启
31 wdapache 运行中... 是 关闭 禁止自启动 重启
32 wine 运行中... 是 关闭 禁止自启动 重启
复制代码
开了这么多服务,哪些是异常的啊,比我另一个vps上的多得多
作者:
yeziye
时间:
2012-7-22 22:12
这个问题很严重啊。。。
作者:
cnsqmy
时间:
2012-7-22 22:21
你是什么版本的
作者:
freemansxh
时间:
2012-7-22 22:37
之前是0622的版本,现在已经升级到最新了,不过貌似面板里不能完全查看黑客建的网站,而且每次重启后会自动给防火墙加上5566和59999:61000的tcp通过规则
作者:
admin
时间:
2012-7-22 22:56
多了好多的一些服务或进程
系统被黑了,应该是加了些自启动的服务和程序,如有直接在系统里加站点,是看不到的
最好最干净的办法,备份数据,然后重装
作者:
freemansxh
时间:
2012-7-23 00:15
回复
7#
admin
谢谢,这个黑客非常恶劣,刚才把我的linode帐号也取消了,我现在所有数据都找不回来了
作者:
freemansxh
时间:
2012-7-23 00:42
诅咒一下这个网站的主人:wifibeta.com,偷用别人的vps还这么恶意删号,这辈子都是个鸡鸣狗盗之辈!
作者:
freemansxh
时间:
2012-7-23 11:47
帐号恢复了,可是系统还是有问题的系统,能不能付费请老大帮忙处理一下
作者:
admin
时间:
2012-7-23 11:58
系统被黑了,比较难切底清除,也不保障
所以,最安全和保障的方法,是重装,虽然麻烦,但能安心
作者:
freemansxh
时间:
2012-7-23 13:29
回复
11#
admin
但是如果他在我的网站文件里加了webshell之类的东西,我重装系统也还是防不住,这个有啥办法防范吗
作者:
admin
时间:
2012-7-23 13:34
这个就需要检查你网站里的PHP程序了
作者:
freemansxh
时间:
2012-7-30 17:10
本帖最后由 freemansxh 于 2012-7-30 22:19 编辑
编辑123456
作者:
admin
时间:
2012-7-30 21:03
面板要管理服务器,需要管理权限是必须的
既然有管理权限,又何来拿下整个服务器?
关键是,你能先进到后台来
作者:
freemansxh
时间:
2012-7-31 12:12
收集到足够多证据和信息了,那厮没底线,那就让jc给他上上课
作者:
linlance
时间:
2013-3-16 13:31
后续如何了?怎样防范?
欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/)
Powered by Discuz! 7.2