开始
登录腾讯云平台后,平台推了一个消息过来,云服务器疑似被黑,前两天部署的平台访问不了了,正常的SSH登录也报超时。
解决步骤
- 修改云服务器用户(root、other)密码
- SSH登录服务器
- lastb命令,列出失败尝试的登录信息,可以看到从4月2日到25日,有人一直尝试登录系统
- 修改SSH端口,由默认的22端口改成指定端口
- top命令发现kswapd0占用CPU过多(腾讯云提示 /root/.configrc/kswapd0)
- kill -9 $PID kswapd0的进程编码
遗留问题
我的Pycharm中使用Development部署工具,之前的配置如下:
现在的问题是,SFTP使用22端口连接不上云服务器。研究一下SFTP如下:
- SFTP是安全文件传输协议的缩写,安全文件传送协议。可以为传输文件提供一种安全的加密方法
- SFTP为SSH的一部分。在SSH软件包中,已经包含了一个叫作SFTP的安全文件传输子系统,SFTP本身没有单独的守护进程,它必须使用SSHD守护进程(端口号默认是22)来完成相应的连接操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序。
Linux 入侵类问题排查思路
日志参考命令
lastlog
- 报告所有用户或给定用户的最新登录信息
- -u --user 报告指定用户的lastlog记录
last
- 列出目前与过去登入系统的用户信息
- 示例说明
- still logged in:表示依然在线
- 10:32 - 10:32:表示该用户在线的时间区间
- (04:53):表示用户持续在线的时长
- 例子
- last -x :显示系统关闭、用户登录和退出的历史
- last -t 20200420000000 :显示20200420000000之前的登录信息
lastb
- 列出失败尝试的登录信息
- 默认读取的是/var/log/btmp文件的信息