我的 VPS 有时会因为以下原因而失控:
/tmp/.X17-unix/.rsync/c/lib/64/tsm --library-path
/tmp/.X17-unix/.rsync/c/lib/64/ /tmp/.X17-unix/.rsync/c/tsm64 -t 302 -f 1 -s 8 -S 8 -p 0 -d 1
终止 PID 并重新启动 VPS 后,我看到 3 个 PID 仅通过./cron命令就终止了我的 CPU。终止./cronPID 后,它很安静,但我猜它会在某个时候恢复。
我尝试cd进入.X17-unix查看其中的内容,但它说文件夹不存在。运行 ls -ld .?* 也没有显示 .X17-unix,但它确实显示了 .X11-unix。知道它是什么以及它有什么作用吗?更重要的是,我如何确保它不会杀死我的 VPS?
答案1
恐怕您的 VPS 已经被接管了。一旦系统被入侵,恶意软件基本上就不可能被清除。您根本无法真正了解攻击者做了什么、操纵或更改了什么、后门(或十个后门)可能在哪里等等。
从您无法“看到”实际存在的文件和目录这一事实来看,攻击者可能已经完全攻陷了 VPS,可以做任何他们想做的事情。他们基本上夺走了您做任何事情的工具。
只有一种方法:删除 VPS 并确保提供商正确删除它。它无法再挽救了。然后,这次使用新的 VPS 和更好的安全性重新开始。仅举几个方面,使用更好的密码或基于密钥的强授权,始终勤于更新,不要使用来源可疑的软件,不要向任何您不完全信任的人授予访问权限等等。
不要将任何文件、任何数据库记录或基本上任何东西从旧 VPS 转移到新 VPS。据您所知,任何事物可能会受到攻击,并在新 VPS 设置完成后立即将密钥交给攻击者。请记住,攻击者已经拥有旧 VPS,以至于他们可以控制您“看到”或“看不到”的内容。
如果您知道 (!) 备份是在入侵之前创建的(显然,这些备份没有存储在旧 VPS 上),您可能会考虑将它们用于新 VPS。但这仍然有风险,因为很难说最初的入侵究竟发生于何时。
很抱歉,我无法给你一个更积极的看法,但这基本上是你唯一的机会。记住,互联网是国际化的。一旦一个系统可以通过互联网访问,来自世界各地的攻击者就会试图破坏它并利用它,通常是使用自动攻击工具。当涉及到安全时,你不能太过偏执。