被黑 VPS 上的奇怪路径或文件夹

被黑 VPS 上的奇怪路径或文件夹

我的 vps 被确认被黑客入侵了,Ubuntu 16.04 LTS(感谢您在我的帖子中回答我之前的帖子)。

现在我已经创建了新的 vPS 并将我的网站移至新的 VPS。

但是我不会删除被黑的 vps,我会保留它来了解为什么我会被黑。

我的问题是:文件/文件夹在哪里执行python3 /~.pid -x -b

感谢您的帮助。

iotop 结果

答案1

它是位于/(根目录)的一个名为 的文件~.pid

要在我的根目录中创建相同的文件:

$ cd /
$ sudo touch '~.pid'

现在让我们去寻找它/

$ find / -maxdepth 1 | grep pid -C 3
/srv
/sbin
/dev
/~.pid                    <<< Here it is
/libx32
/lost+found
/proc

在里面写点东西:

$ echo hello | sudo tee \~.pid 
hello

看看里面有什么:

$ cat \~.pid 
hello

文件类型是什么:

$ file /~.pid       # Absolute path
/~.pid: ASCII text

$ file \~.pid       # Relative path
~.pid: ASCII text

如果您无法使用ls或其他任何方式声明文件,则该文件已被删除。您可以创建一个文件,运行它,然后将其删除。在您的情况下,python 正在使用的内存 (RAM) 中仍有该文件的一个版本,但它已从文件系统中删除,因此您找不到它。

如果你终止该进程,它就会消失。但这取决于恶意软件。它可能会被另一个进程重新创建。

相关内容