远程时，发现VPS的某个进程异常：VPS的XenGuestAgent.exe进程竟然吃了1G虚拟内存。

于是写了简单的文章记录了下： http://www.cyqdata.com/cyq1162/article-detail-54353

虽然知道这进程不正常，但是这进程信息非常少，只能结束掉处理。 

又上去看了一下，突然看到这进程又占了1G虚拟内存。

更一看，发现存在数字型的进程名称，一看就知道服务器中扫了，挂了。

进程文件： ntsd or ntsd.exe

进程名称： Symbolic Debugger for Windows 。ntsd.exe是Microsoft Windows 2000（Microsoft Windows XP）系统自带的用户态调试工具。可用它结束掉除System、SMSS.EXE、CSRSS.EXE以外的所有进程。该程序经常被病毒利用，用来强制结束杀毒软件进程。

1：VPS不正常的那个进程有漏洞？

2：服务器有补丁没更新？（vps新弄时，我就把自动更新给停了）

3：网站？

4：数据库？

人家提供商说：

几百台VPS在运行，要是VPS的虚拟进程有问题，那肯定是一堆受到入侵，不会是你单独一个。

说的很有理，好像这么一回事，但是XenGuestAgent.exe为啥占这么大虚拟内存没人能解释。

由于我vps操作系统运行时就把补丁更新给停了，于是我问vps提供商：

自带的操作系统，默认补丁都打上的吧。

对方回复：补丁打到上系统的那天，新的香港VPS上了半年，补丁也就是半年前。

我想：win2003都N年前的系统，老一辈的漏洞补丁早就补了，半年里应该没啥新漏洞，有估计也是难度很高的，一般真黑客怎么会弄这么个vps这么有难度。

网站数据库操作用的CYQ.Data，基本所有操作都有强过滤系统，SQL注入不存在。

倒是本人开了个后台sqlexe页面，不过页面也改过名字，虽然可以执行任意语句，不过页面名称只有自己知道，执行前也需要新的密码，我还特意执行了一条：