Board logo

标题: [求助] 貌似我的wdcp被黑了,后台加了个system用户,还建了个网站 [打印本页]
作者: freemansxh    时间: 2012-7-22 20:48     标题: 貌似我的wdcp被黑了,后台加了个system用户,还建了个网站

求助啊!要怎么做来清除并防御再次被黑?
作者: freemansxh    时间: 2012-7-22 20:57

本帖最后由 freemansxh 于 2012-7-22 21:00 编辑

在防火墙设置里开了好些端口,什么943,5566,59999:61000之类的
作者: freemansxh    时间: 2012-7-22 21:05

  1. 系统启动服务 当前运行及随机启动 | 所有服务
  2. ID         程序名         当前状态         随机启动         操作
  3. 1         abrt-ccpp         运行中...         是         关闭  禁止自启动  重启
  4. 2         abrt-oops         运行中...         是         关闭  禁止自启动  重启
  5. 3         abrtd         运行中...         是         关闭  禁止自启动  重启
  6. 4         acpid         运行中...         是         关闭  禁止自启动  重启
  7. 5         atd         运行中...         是         关闭  禁止自启动  重启
  8. 6         auditd         运行中...         是         关闭  禁止自启动  重启
  9. 7         avahi-daemon         运行中...         是         关闭  禁止自启动  重启
  10. 8         cpuspeed         运行中...         是         关闭  禁止自启动  重启
  11. 9         crond         运行中...         是         关闭  禁止自启动  重启
  12. 10         dkms_autoinstaller         运行中...         是         关闭  禁止自启动  重启
  13. 11         haldaemon         运行中...         是         关闭  禁止自启动  重启
  14. 12         httpd         运行中...         是         关闭  禁止自启动  重启
  15. 13         ip6tables         运行中...         是         关闭  禁止自启动  重启
  16. 14         ipsec         运行中...         是         关闭  禁止自启动  重启
  17. 15         iptables         运行中...         是         关闭  禁止自启动  重启
  18. 16         irqbalance         运行中...         是         关闭  禁止自启动  重启
  19. 17         mdmonitor         运行中...         是         关闭  禁止自启动  重启
  20. 18         memcached         运行中...         是         关闭  禁止自启动  重启
  21. 19         messagebus         运行中...         是         关闭  禁止自启动  重启
  22. 20         mysqld         运行中...         是         关闭  禁止自启动  重启
  23. 21         netfs         运行中...         是         关闭  禁止自启动  重启
  24. 22         network         运行中...         是         关闭  禁止自启动  重启
  25. 23         nginxd         运行中...         是         关闭  禁止自启动  重启
  26. 24         openvpnas         运行中...         是         关闭  禁止自启动  重启
  27. 25         pureftpd         运行中...         是         关闭  禁止自启动  重启
  28. 26         rsyslog         运行中...         是         关闭  禁止自启动  重启
  29. 27         snmpd         运行中...         是         关闭  禁止自启动  重启
  30. 28         sshd         运行中...         是         关闭  禁止自启动  重启
  31. 29         sysstat         运行中...         是         关闭  禁止自启动  重启
  32. 30         udev-post         运行中...         是         关闭  禁止自启动  重启
  33. 31         wdapache         运行中...         是         关闭  禁止自启动  重启
  34. 32         wine         运行中...         是         关闭  禁止自启动  重启
复制代码
开了这么多服务,哪些是异常的啊,比我另一个vps上的多得多
作者: yeziye    时间: 2012-7-22 22:12

这个问题很严重啊。。。
作者: cnsqmy    时间: 2012-7-22 22:21

你是什么版本的
作者: freemansxh    时间: 2012-7-22 22:37

之前是0622的版本,现在已经升级到最新了,不过貌似面板里不能完全查看黑客建的网站,而且每次重启后会自动给防火墙加上5566和59999:61000的tcp通过规则
作者: admin    时间: 2012-7-22 22:56

多了好多的一些服务或进程

系统被黑了,应该是加了些自启动的服务和程序,如有直接在系统里加站点,是看不到的

最好最干净的办法,备份数据,然后重装
作者: freemansxh    时间: 2012-7-23 00:15

回复 7# admin

谢谢,这个黑客非常恶劣,刚才把我的linode帐号也取消了,我现在所有数据都找不回来了
作者: freemansxh    时间: 2012-7-23 00:42

诅咒一下这个网站的主人:wifibeta.com,偷用别人的vps还这么恶意删号,这辈子都是个鸡鸣狗盗之辈!
作者: freemansxh    时间: 2012-7-23 11:47

帐号恢复了,可是系统还是有问题的系统,能不能付费请老大帮忙处理一下
作者: admin    时间: 2012-7-23 11:58

系统被黑了,比较难切底清除,也不保障

所以,最安全和保障的方法,是重装,虽然麻烦,但能安心
作者: freemansxh    时间: 2012-7-23 13:29

回复 11# admin
但是如果他在我的网站文件里加了webshell之类的东西,我重装系统也还是防不住,这个有啥办法防范吗
作者: admin    时间: 2012-7-23 13:34

这个就需要检查你网站里的PHP程序了
作者: freemansxh    时间: 2012-7-30 17:10

本帖最后由 freemansxh 于 2012-7-30 22:19 编辑

编辑123456
作者: admin    时间: 2012-7-30 21:03

面板要管理服务器,需要管理权限是必须的

既然有管理权限,又何来拿下整个服务器?

关键是,你能先进到后台来
作者: freemansxh    时间: 2012-7-31 12:12

收集到足够多证据和信息了,那厮没底线,那就让jc给他上上课
作者: linlance    时间: 2013-3-16 13:31

后续如何了?怎样防范?



欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/) Powered by Discuz! 7.2