V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
DigitalOcean - SSD Cloud Servers
cfans1993
V2EX  ›  VPS

今天我的搬 wa 工出事了

  •  
  •   cfans1993 · 2016-01-23 17:46:57 +08:00 · 723 次点击
    这是一个创建于 3227 天前的主题,其中的信息可能已经有所发展或是发生改变。

    KiwiVM has detected the following process on this server:
    [getty] /usr/bin/bsd-port/getty

    This process is a malware binary installed on the server with the sole purpose to perform abuse (DoS attacks, spamming, etc).
    Seems like this server has been compromised and therefore it has been suspended to prevent further damage.


    List of processes


    827270 init init
    827271 kthreadd/210090

    827272 khelper/210090

    827435 udevd /sbin/udevd -d
    827902 dbus-daemon dbus-daemon --system
    827924 NetworkManager NetworkManager --pid-file=/var/run/NetworkManager/NetworkManager.pid
    827929 modem-manager /usr/sbin/modem-manager
    827955 wpa_supplicant /usr/sbin/wpa_supplicant -c /etc/wpa_supplicant/wpa_supplicant.conf -B -u -f /var/log/wpa_supplicant.log -P /var/run/wpa_supplicant.pid
    827982 cupsd cupsd -C /etc/cups/cupsd.conf
    827994 hald hald
    827995 hald-runner hald-runner
    828055 pcscd pcscd
    828072 sshd /usr/sbin/sshd
    828079 yg666 /root/yg666
    828222 getty /usr/bin/bsd-port/getty
    828260 .sshd /usr/bin/.sshd


    Conntrack table (1 lines)


    ipv4 2 udp 17 24 src=45.78.40.192 dst=8.8.8.8 sport=44782 dport=53 src=8.8.8.8 dst=45.78.40.192 sport=53 dport=44782 mark=0 secmark=0 use=2

    这两天想折腾下 CentOS 的远程桌面,于是安装了 vnc , KDE
    用了 putty 、 flashFxp 、 vnc 等软件连接 vps
    搬 wa 工页面显示可以有 3 次荡机机会, 3 次后就要到 17 年 1 月才解封。
    我一下子就用了两次,后来重新安装了 OS
    然而我不明白上面的信息的具体情是什么,只知道有个 getty 做怪

    5 条回复    2016-01-25 12:33:08 +08:00
    function007
        1
    function007  
       2016-01-23 17:51:05 +08:00
    你这是被人跑出密码拿去攻击了吧,有三次机会已经很厚道了
    kid424
        2
    kid424  
       2016-01-24 08:10:23 +08:00 via iPhone
    vnc 密码被爆了吧,最长也就 8 位,分析下日志上个 fail2ban
    cfans1993
        3
    cfans1993  
    OP
       2016-01-24 09:47:13 +08:00
    @kid424 很可能是,当时 vnc 设的账号的就是 root , 123456
    msg7086
        4
    msg7086  
       2016-01-25 07:43:58 +08:00
    @cfans1993 123456 ,为什么要作死呢……
    起个随便点的单词+数字都比这难破啊。

    一旦服务器被人黑了,唯一的办法是重装系统。

    上面信息就是告诉你服务器上有恶意程序在攻击别人。只是停掉你的机器已经很仁慈了……
    cfans1993
        5
    cfans1993  
    OP
       2016-01-25 12:33:08 +08:00 via Android
    @msg7086 第一次折腾 linux 桌面,图个省事,结果就中奖了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1092 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 23:36 · PVG 07:36 · LAX 15:36 · JFK 18:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.