我的 VPS 有时会因为以下原因而疯狂:
/tmp/.X17-unix/.rsync/c/lib/64/tsm --library-path
/tmp/.X17-unix/.rsync/c/lib/64/ /tmp/.X17-unix/.rsync/c/tsm64 -t 302 -f 1 -s 8 -S 8 -p 0 -d 1
杀死 PID 并重新启动 VPS 后,我看到 3 个 PID 仅./cron在命令中就杀死了我的 CPU。杀死./cronPID 后,它很安静,但我想它会在某个时候返回。
我尝试cd查看.X17-unix其中的内容,但它说该文件夹不存在。运行 ls -ld .?* 也不会显示 .X17-unix,尽管它会显示 .X11-unix。知道它是什么以及它有什么作用吗?更重要的是,我怎样才能确保它不会杀死我的 VPS?
恐怕您的 VPS 似乎已经被接管了。一旦系统受到破坏,基本上就不可能摆脱恶意软件。你没有机会真正知道攻击者做了什么,什么被操纵或改变了,一个后门(或十个后门)可能在哪里,等等。
从您无法“看到”实际存在的文件和目录这一事实来看,攻击者可能已经完全破坏了 VPS,并且可以为所欲为。他们基本上从你那里拿走了任何反对它的工具。
只有一种方法:摆脱 VPS 并确保提供商正确删除它。不能再挽回了。然后,这次使用新的 VPS 和更好的安全性重新开始。仅举几个方面,使用更好的密码或基于强密钥的授权,始终勤奋更新,不要使用来自可疑来源的软件,不要让任何你不完全信任的人访问等等等等.
不要将任何文件、任何数据库记录或基本上任何东西从旧 VPS 转移到新 VPS。就您所知,任何东西都可能遭到破坏,只要在新 VPS 设置的那一刻就将新 VPS 的密钥交给攻击者即可。请记住,攻击者已经拥有旧 VPS 到他们可以控制你做什么或不“看到”的程度。
如果您知道(!)来自入侵之前的备份(并且显然没有存储在旧 VPS 上),您可能会考虑将它们用于新 VPS。但这仍然是一个风险,因为很难说最初的入侵何时真正发生。
很抱歉,我不能给你一个更积极的前景,但这基本上是你唯一的机会。请记住,互联网是国际化的。一旦可以从 Internet 访问系统,来自世界各地的攻击者,从极点到极点,将尝试破坏它并为自己使用,通常使用自动攻击工具。当涉及安全问题时,你不能太偏执。