无标题文档
wdCP系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程) wdCDN系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
wdOS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程) wdDNS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
注册 发贴 提问 回复-必看必看 wddns免费智能 DNS 开通 本地或虚拟机使 用wdcp 一键包在mysql编 译时"卡住"
【300G高防】双线 无视攻击 wdcp官方技术支持/服务 阿里云8折优惠券 无敌云 腾讯云优惠中,现注册更有260代金额券赠送
返回列表 发帖
提问三步曲: 提问先看教程/FAQ索引(wdcp,wdcp_v3,一键包)及搜索,会让你更快解决问题
1 提供详细,如系统版本,wdcp版本,软件版本等及错误的详细信息,贴上论坛或截图发论坛
2 做过哪些操作或改动设置等

温馨提示:信息不详,很可能会没人理你!论坛有教程说明的,也可能没人理!因为,你懂的
-A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT


我想知道这句的意义,是否会引起网络请求延迟呢?……求指导!

TOP

我发现文中提到的两个可疑文件:/bin/ps 与 /bin/netstat
大小都是 1,135,000byte
于是我查找这个大小的全部文件:

find / -size 1135000c

得到如下结果

/bin/netstat
/bin/ps
/www/wdlinux/wdcp/sys/802
/www/wdlinux/wdcp/sys/802.1
/usr/bin/lixww
/usr/bin/bsd-port/getty


希望对官方能有所帮助,并指导一下我们如何处理……

TOP

在 /tmp 目录下发现两个可疑文件:gates.lock 与 moni.lock
大小都为 4byte
于是我查找以lock结尾并且只有4byte大小的文件:

find /  -name '*.lock' -size 4c

得到如下结果

/tmp/gates.lock
/tmp/moni.lock
/usr/bin/bsd-port/getty.lock

三个文件我全部删除了……希望有用………

TOP

在 /usr/bin/bsd-port/ 目录还发现可疑文件:conf.n
大小为69byte
于是查找这个文件名一样的文件:

find /  -name 'conf.n'

得到如下结果

/www/wdlinux/wdcp/sys/conf.n
/usr/bin/bsd-port/conf.n

两个文件我都删除了……希望我做的没有问题……

TOP

意外地在 /usr/bin/ 目录发现可疑新目录 /usr/bin/dpkgd
该目录下有两个文件: ps 与 netstat

对比修改时间发现该两个文件与 /bin/ps 与 /bin/netstat 这两个文件被修改的时间一致

深刻怀疑这是攻击者做的备份所在,于是用这两个备份文件替换了/bin下的对应文件,ps与netstat又能正常使用了。

PS:使用WD官方提供的netstat文件会被系统提示:-bash: /bin/netstat: /lib/ld-linux.so.2: bad ELF interpreter: 没有那个文件或目录,说明文件还是有问题的,而且和备份的两个文件的大小并不一样!

看来,攻击者还是挺有良心的,好像也没有做任何大的动作和破坏!

谢天谢地谢这个陌生人!

TOP

返回列表