前几天要远程登录到一台服务器上做些业务,结果链接过程及操作过程都很缓慢。看了一下进程列表,居然有挂机宝,还有些jingling.exe进程。这明显被人用作刷流量的机器了。
首先用taskkill强制杀掉这些进程,然后系统反应就正常多了,查看系统日志,是头一天晚上被人拿下的,mysql和web服务日志都有记录,系统服务列表里有两三个不知名的服务在跑,IIS目录下有陌生的文件,还有多出来的账户,在该账户文件夹下有二十多个“工具”,并且安装了shift后门,还好这兄弟只是刷流量,没干什么太严重的破坏。
我们的服务器托管在一家机房,从日志分析来看,机房内有很多机器已经中招,网络安全这东西,怎么说呢。
服务器被拿下了
猜你喜欢
转载自brucewei777.iteye.com/blog/1729406
今日推荐
周排行