網頁

2016年3月16日 星期三

2016.3.16 DR搶救

昨日發現怪異流量

今日到現場檢查, 今日必須解決, 否則會影響大後天的rehearsal

也不是從內部發起的outbound, 從外線sniffer發現似乎是F5自己發起的流量
這時心裡就有一份不安感
檢查top後, 有發現不尋常的pid, 砍掉後,自己還會重生另一組名字.
追到/bin/cmvdrsjpzl. 另外crontab又看到/etc/cron.hourly/gcc.sh

這時候用膝蓋想也知道發生甚麼事了------------被駭.
我不是除駭高手, 也沒有時間, 就直接format,重建tmos





追蹤者