?> 貌似我的wdcp被黑了，后台加了个system用户，还建了个网站 - wdCP V2|linux下免费的服务器/虚拟主机管理系统 - WDlinux官方论坛 Linux服务器架构,性能优化.免费CDN系统,智能DNS,负载均衡,集群分流等应用

WDlinux官方论坛 » wdCP V2|linux下免费的服务器/虚拟主机管理系统 » 貌似我的wdcp被黑了，后台加了个system用户，还建了个网站

无标题文档


wdCP系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程)		wdCDN系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
wdOS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程)		wdDNS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
注册发贴提问回复-必看必看	wddns免费智能 DNS 开通	本地或虚拟机使用wdcp	一键包在mysql编译时"卡住"
【300G高防】双线无视攻击	wdcp官方技术支持/服务	阿里云8折优惠券无敌云	腾讯云优惠中，现注册更有260代金额券赠送

返回列表发帖

Rank: 2

1^# 跳转到 » 倒序看帖

字体大小: tT

发表于 2012-7-22 20:48 | 只看该作者

提问三步曲: 提问先看教程/FAQ索引(wdcp,wdcp_v3,一键包)及搜索,会让你更快解决问题
1 提供详细，如系统版本,wdcp版本,软件版本等及错误的详细信息,贴上论坛或截图发论坛
2 做过哪些操作或改动设置等

温馨提示：信息不详,很可能会没人理你！论坛有教程说明的，也可能没人理！因为,你懂的

[求助] 貌似我的wdcp被黑了，后台加了个system用户，还建了个网站

求助啊！要怎么做来清除并防御再次被黑？

Rank: 2

2^#

发表于 2012-7-22 20:57 | 只看该作者

本帖最后由 freemansxh 于 2012-7-22 21:00 编辑

在防火墙设置里开了好些端口，什么943，5566，59999：61000之类的

Rank: 2

3^#

发表于 2012-7-22 21:05 | 只看该作者

系统启动服务当前运行及随机启动 | 所有服务
ID 程序名当前状态随机启动操作
1 abrt-ccpp 运行中... 是关闭禁止自启动重启
2 abrt-oops 运行中... 是关闭禁止自启动重启
3 abrtd 运行中... 是关闭禁止自启动重启
4 acpid 运行中... 是关闭禁止自启动重启
5 atd 运行中... 是关闭禁止自启动重启
6 auditd 运行中... 是关闭禁止自启动重启
7 avahi-daemon 运行中... 是关闭禁止自启动重启
8 cpuspeed 运行中... 是关闭禁止自启动重启
9 crond 运行中... 是关闭禁止自启动重启
10 dkms_autoinstaller 运行中... 是关闭禁止自启动重启
11 haldaemon 运行中... 是关闭禁止自启动重启
12 httpd 运行中... 是关闭禁止自启动重启
13 ip6tables 运行中... 是关闭禁止自启动重启
14 ipsec 运行中... 是关闭禁止自启动重启
15 iptables 运行中... 是关闭禁止自启动重启
16 irqbalance 运行中... 是关闭禁止自启动重启
17 mdmonitor 运行中... 是关闭禁止自启动重启
18 memcached 运行中... 是关闭禁止自启动重启
19 messagebus 运行中... 是关闭禁止自启动重启
20 mysqld 运行中... 是关闭禁止自启动重启
21 netfs 运行中... 是关闭禁止自启动重启
22 network 运行中... 是关闭禁止自启动重启
23 nginxd 运行中... 是关闭禁止自启动重启
24 openvpnas 运行中... 是关闭禁止自启动重启
25 pureftpd 运行中... 是关闭禁止自启动重启
26 rsyslog 运行中... 是关闭禁止自启动重启
27 snmpd 运行中... 是关闭禁止自启动重启
28 sshd 运行中... 是关闭禁止自启动重启
29 sysstat 运行中... 是关闭禁止自启动重启
30 udev-post 运行中... 是关闭禁止自启动重启
31 wdapache 运行中... 是关闭禁止自启动重启
32 wine 运行中... 是关闭禁止自启动重启

复制代码

开了这么多服务，哪些是异常的啊，比我另一个vps上的多得多

Rank: 2

4^#

发表于 2012-7-22 22:12 | 只看该作者

这个问题很严重啊。。。

Rank: 2

5^#

发表于 2012-7-22 22:21 | 只看该作者

你是什么版本的

Rank: 2

6^#

发表于 2012-7-22 22:37 | 只看该作者

之前是0622的版本，现在已经升级到最新了，不过貌似面板里不能完全查看黑客建的网站，而且每次重启后会自动给防火墙加上5566和59999:61000的tcp通过规则

Rank: 9 Rank: 9 Rank: 9

7^#

发表于 2012-7-22 22:56 | 只看该作者

多了好多的一些服务或进程

系统被黑了,应该是加了些自启动的服务和程序,如有直接在系统里加站点,是看不到的

最好最干净的办法,备份数据,然后重装

看清提问三步曲及多看教程/FAQ索引(wdcp,v3,一键包,wdOS),益处多多.wdcp工具集阿里云主机8折优惠码

Rank: 2

8^#

发表于 2012-7-23 00:15 | 只看该作者

回复 7# admin

谢谢，这个黑客非常恶劣，刚才把我的linode帐号也取消了，我现在所有数据都找不回来了

Rank: 2

9^#

发表于 2012-7-23 00:42 | 只看该作者

诅咒一下这个网站的主人：wifibeta.com，偷用别人的vps还这么恶意删号，这辈子都是个鸡鸣狗盗之辈！

Rank: 2

10^#

发表于 2012-7-23 11:47 | 只看该作者

帐号恢复了，可是系统还是有问题的系统，能不能付费请老大帮忙处理一下

Rank: 9 Rank: 9 Rank: 9

11^#

发表于 2012-7-23 11:58 | 只看该作者

系统被黑了,比较难切底清除,也不保障

所以,最安全和保障的方法,是重装,虽然麻烦,但能安心

看清提问三步曲及多看教程/FAQ索引(wdcp,v3,一键包,wdOS),益处多多.wdcp工具集阿里云主机8折优惠码

Rank: 2

12^#

发表于 2012-7-23 13:29 | 只看该作者

回复 11# admin
但是如果他在我的网站文件里加了webshell之类的东西，我重装系统也还是防不住，这个有啥办法防范吗

Rank: 9 Rank: 9 Rank: 9

13^#

发表于 2012-7-23 13:34 | 只看该作者

这个就需要检查你网站里的PHP程序了

看清提问三步曲及多看教程/FAQ索引(wdcp,v3,一键包,wdOS),益处多多.wdcp工具集阿里云主机8折优惠码

Rank: 2

14^#

发表于 2012-7-30 17:10 | 只看该作者

本帖最后由 freemansxh 于 2012-7-30 22:19 编辑

编辑123456

Rank: 9 Rank: 9 Rank: 9

15^#

发表于 2012-7-30 21:03 | 只看该作者

面板要管理服务器,需要管理权限是必须的

既然有管理权限,又何来拿下整个服务器?

关键是,你能先进到后台来

看清提问三步曲及多看教程/FAQ索引(wdcp,v3,一键包,wdOS),益处多多.wdcp工具集阿里云主机8折优惠码