 | 1 adoal Apr 22, 2025 看看它的父进程 |
 | 2 pagxir Apr 22, 2025 via Android 实在不行就重装大法。一般不是直接 kill ,而是 stop 它,然后把父进程也一并杀掉 |
 | 3 defunct9 Apr 22, 2025 开 ssh ,让我上去看看 |
 | 4 ondeay Apr 22, 2025 排查定时任务,和服务自启动,最方便的还是重装 |
 | 5 duzhuo Apr 22, 2025 搞好之后别忘了安装 fail2ban 和开启密钥登录 |
 | 6 wyntalgeer Apr 22, 2025 要找服务,这种的都是搞了个服务,在 tmp 里拷贝个分身,启动,然后自删分身。本体找到了一般没有删除权限,还要用 root 修改权限然后删掉,删掉后继续观察,如果还会出现,说明没找对,可以删了之后&&mkdir 一个同名目录防止它转生 |
 | 7 littlepigpeppa Apr 22, 2025 这头像好多年了没看到了,以前玩了几百个小时 |
 | 8 yanqiyu Apr 22, 2025 这种情况我一般建议直接重装,因为这类病毒一旦拿到权限能干的坏事不少,很难追查 |
 | 9 jardel Apr 23, 2025 linux 如果你没有做用户权限划分,并且病毒获取到了 root 建议重装系统。 |
 | 10 idragonet Apr 23, 2025 重新安装吧。 |
 | 11 myownroc Apr 23, 2025 有个守护进程吧,systemctl 之类的看看能不能查出来 |
 | 12 yinmin Apr 23, 2025 via iPhone 建议重装,新系统 ssh 关闭密码必须 key 登录,用 docker 部署所有软件,保持容器无状态(数据 volume 到宿主机),将来再次出现问题,只要对出问题容器 docker compose down 然后 up 一下就可以 |
| 13 yinmin Apr 23, 2025 via iPhone  2 接#12 docker 容器尽量基于 debian 或 ubuntu ,不推荐 alpine 。 debian/ubuntu 基础镜像默认是不含网络工具的(没有 ping 、wget 、curl 、nc 等),黑客利用漏洞入侵时往往需要用到这些工具。 alpine 基础镜像有 busybox 功能太多,有 wget 、nc 、ping 都是黑客的最爱,黑客注入 shell 入侵时会用到 wget 、nc 等工具。 |
Select Language