- 大清早看到腾讯云的短信,说检测到木马文件
心想管他呢,昨天刚重装的腾讯云主机,就上了一个服务,坑人的吧
- 开始我的一天的学习,我插,我的app竟然连不上我的pg了,我就去我的腾讯云主机上看看。
我的容器呢,一看,容器停了,算啦,手动重启下
我去,什么情况
- 想到今早的病毒信息,就去看了下腾讯云的消息
看一下主机的资源使用情况
- 赶紧去百度,没找到相关问题
kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。(copy)
又要重装了,汗颜。
- 算啦,发时间看看啥问题。
先按照腾讯云文档给的建议走走
腾讯云文档url:https://cloud.tencent.com/document/product/296/9604
== last 命令无异常
less /var/log/secure|grep 'Accepted'
查了一个ip,为美国的
看来是被攻击了,还是用root ssh上来的。----可能我的root密码太简单了吧
- 找找病毒在哪里
netstat -ntlp
貌似没啥问题呢
netstat -antlp
很多这样的消息,之前一直不怎么理解netstat的-a选项,这次又去查了下看
-a就是显示所有的连接信息,也就是除了显示程序监听的端口外,如果有其他程序连接到这个程序所提供的端口上,也会把这些连接显示出来
7. 在这里看到了tsm这个进程,就连滚带爬的去看看这个程序的状态以及运行位置
貌似找到那个程序的问题了
与腾讯云描述的木马文件位置相符。准备copy一份到电脑上看看,一看好像是c写的
就放弃了。
- 下面我打算清掉这些东西
- 先去杀进程
- 删除病毒目录
- 查看并修改定时任务
crontab -e 全部清清清
好像没什么了
- 但是我的cpu并没有降下来
1)ps aux
2) 再看下端口的使用情况
连接的端口在tsm进程被干掉之后少了很多,现在我要看下除了标红的我自己,竟然还进程在跑
- 改个root密码先
Passwd root xxxxxxxxxxxxxxxxxxxxxxxxx
- 不知道谁啥情况
貌似还有残留
rm -rf /root/.configrc
在kswapd0的进程被杀掉之后,服务器使用率正常了
- 再看一眼端口的交互,我插,还有
kill -9 28501
日了狗了,还要给,显示sshd的,到底是什么东西的
怀疑是这个进程,一看,是腾讯的进程
看一下开机启动
- 重启下机器在看看,发现程序外部通信了。简单的总结到这
- 我是小菜鸡,就是跟着进程找找目录,然后杀进程,清目录,清定时任务
安全建议
- 尽量用密钥连接服务器,禁用账号密码连接
- 封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)
- 密码增强复杂性
- 及时修补系统和软件漏洞
我就知道这么多,求大神指点。
