腾讯云服务器被黑

时间:2024-01-29 08:30:40

开始

登录腾讯云平台后,平台推了一个消息过来,云服务器疑似被黑,前两天部署的平台访问不了了,正常的SSH登录也报超时。

解决步骤

  1. 修改云服务器用户(root、other)密码
  2. SSH登录服务器
  3. lastb命令,列出失败尝试的登录信息,可以看到从4月2日到25日,有人一直尝试登录系统

  4. 修改SSH端口,由默认的22端口改成指定端口
  5. top命令发现kswapd0占用CPU过多(腾讯云提示 /root/.configrc/kswapd0)
  6. kill -9 $PID kswapd0的进程编码

遗留问题

我的Pycharm中使用Development部署工具,之前的配置如下:

现在的问题是,SFTP使用22端口连接不上云服务器。研究一下SFTP如下:

  • SFTP是安全文件传输协议的缩写,安全文件传送协议。可以为传输文件提供一种安全的加密方法
  • SFTP为SSH的一部分。在SSH软件包中,已经包含了一个叫作SFTP的安全文件传输子系统,SFTP本身没有单独的守护进程,它必须使用SSHD守护进程(端口号默认是22)来完成相应的连接操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序。

Linux 入侵类问题排查思路

日志参考命令

lastlog

  • 报告所有用户或给定用户的最新登录信息
  • -u --user 报告指定用户的lastlog记录

last

  • 列出目前与过去登入系统的用户信息
  • 示例说明
    • still logged in:表示依然在线
    • 10:32 - 10:32:表示该用户在线的时间区间
    • (04:53):表示用户持续在线的时长
  • 例子
    • last -x :显示系统关闭、用户登录和退出的历史
    • last -t 20200420000000 :显示20200420000000之前的登录信息

lastb

  • 列出失败尝试的登录信息
  • 默认读取的是/var/log/btmp文件的信息