春节前购买了一台万网的翔云主机,装好系统不久后发现系统进程中有一个名为.osyslog的进程,占cpu很大,起初以为是万网的集群日志处理造成的。kill掉后正常。过几天观察又反复出现类似情况进程名为 .osyslog(.ksyslog 、.fsyslog)。百度了一下,貌似很多vps都出现类似情况,有人怀疑是wdcp的问题。
http://www.west263.com/faq/list.asp?unid=577
去chinaunix发了个帖子,告知是后门
http://bbs.chinaunix.net/thread-3659282-1-1.html
检查发现/etc /lib目录下出现大量类似
.fsyslog.1 .fsyslog.2 …… .ksyslog.1 .ksyslog.2 …… .osyslog.1 .osyslog.2 ……
的隐藏文件。并且/etc/init.d/sshd /etc/init.d/sendmail文件被修改添加了
auto
/lib/.fsyslog
清除后,春节期间观察了几次,清除后还是反复出现。
今天在游侠上才看到原来是putty惹的祸。唉!猫了个咪的!我是从putty.org.cn上下载的putty中招的。大家都赶紧检查一下吧。
http://www.youxia.org/2012/01/putty-WinSCP-SecureCRT-Backdoor.html