公司的测试服务器突然登录不上去了,用宝塔查看了一下,发现CPU被占满了,登录腾讯云账号,发现有几条预警,说服务器被一个乌克兰的IP攻击了。
首先在腾讯云安全组策略里,把这个IP列为全端口黑名单,然后修改安全策略,除了80,443等端口,其它的端口都只把公司的外网IP设为白名单。
然后修改ssh密码,用宝塔登录服务器,top一下,发现一个kswapd0的进程占满了CPU。
使用kill -9 pid 命令杀死病毒进程。
使用 crontab -e 命令查看计划任务,发现多了不少病毒的计划任务。
把计划任务中病毒的路径备份一下,然后清理计划任务。
把计划任务中病毒路径下的文件也删除掉。
重启服务器,OK。
最后的安全建议:
- 端口能不对外开放尽量不对外开放
- ssh密码要增强复杂性,不要用一些容易被破解的密码
- 及时修补漏洞