yvkm92 最近的时间轴更新 yvkm92 最近的时间轴更新 |
yvkm92V2EX 第 648130 号会员,加入于 2023-09-12 13:51:24 +08:00 |
| 最近使用 ssh 登录服务器会出现一段 html 代码,请问是中毒了吗?我该怎么开始排查?
1 问与答 • yvkm92 • 35 天前 • 最后回复来自 yvkm92
|
31 |
yvkm92 最近回复了
35 天前 回复了 yvkm92 创建的主题 › 问与答 › 最近使用 ssh 登录服务器会出现一段 html 代码,请问是中毒了吗?我该怎么开始排查? |
@msg7086 这个是测试的服务器,所以没选择第一时间重装,确实是有侥幸心理。 小公司没有 IT ,开发都有权限登录上去,管得比较松
35 天前 回复了 yvkm92 创建的主题 › 问与答 › 最近使用 ssh 登录服务器会出现一段 html 代码,请问是中毒了吗?我该怎么开始排查? |
@InDom 昨天提供工单给腾讯云那边检查,他们回复说是病毒导致的,也没有找到什么问题,然后叫我重装系统。目前系统没出现问题,所以还想挣扎一下。
35 天前 回复了 yvkm92 创建的主题 › 问与答 › 最近使用 ssh 登录服务器会出现一段 html 代码,请问是中毒了吗?我该怎么开始排查? |
@zizon 我试试 tcpdump , 现在确认在 source profile 之前。
35 天前 回复了 yvkm92 创建的主题 › 问与答 › 最近使用 ssh 登录服务器会出现一段 html 代码,请问是中毒了吗?我该怎么开始排查? |
@InDom 公司的服务器,我不敢呢
35 天前 回复了 yvkm92 创建的主题 › 问与答 › 最近使用 ssh 登录服务器会出现一段 html 代码,请问是中毒了吗?我该怎么开始排查? |
@newaccount setup 只有下面的内容,没看懂
#%PAM-1.0
auth sufficient pam_rootok.so
auth include system-auth
account required pam_permit.so
session required pam_permit.so
#%PAM-1.0
auth sufficient pam_rootok.so
auth include system-auth
account required pam_permit.so
session required pam_permit.so
35 天前 回复了 yvkm92 创建的主题 › 问与答 › 最近使用 ssh 登录服务器会出现一段 html 代码,请问是中毒了吗?我该怎么开始排查? |
@BeautifulSoap 我用的是 termius ,我已经发邮件他们了,大概率不是这个问题,我已经用了好久了,如果有这个问题,理论上其他服务器也有才对
35 天前 回复了 yvkm92 创建的主题 › 问与答 › 最近使用 ssh 登录服务器会出现一段 html 代码,请问是中毒了吗?我该怎么开始排查? |
@ysc3839 没搜索到关联的
36 天前 回复了 yvkm92 创建的主题 › 问与答 › 最近使用 ssh 登录服务器会出现一段 html 代码,请问是中毒了吗?我该怎么开始排查? |
@alvinbone88 https://imgur.com/8cI3lYX 里面没看出来有可疑的文件
36 天前 回复了 yvkm92 创建的主题 › 问与答 › 最近使用 ssh 登录服务器会出现一段 html 代码,请问是中毒了吗?我该怎么开始排查? |
@yvkm92 我试了用 audit 审计日志,但是没抓到有执行 curl 的操作
36 天前 回复了 yvkm92 创建的主题 › 问与答 › 最近使用 ssh 登录服务器会出现一段 html 代码,请问是中毒了吗?我该怎么开始排查? |
@ferock 这个感觉很有可能,我要看看怎么定位到登录的之后执行了 curl
Select Language