服务器被黑记录-问题、探索与检测
问题发现:
系统出现了个挖矿的docker容器,删除了但忽略了(根源在此,docker容器的远程端口没有认证,出现了问题)
执行sudo或htop命令输出奇怪字符
执行touch等创建文件命令,生成的文件读写权限很奇怪
问题探索:
开始以为是sudo、bash或htop的问题
使用strace跟踪调用发现了奇怪的write(1, "\210$\255\373", 4)
查看htop、sudo等对应版本源码,发现可能是某些系统lib的问题
意识到是共享库出问题了
然后发现用touch后其他创建的文
原创
2021-01-30 13:27:20 ·
209 阅读 ·
0 评论