腾讯云主机被黑

时间:2022-09-17 18:53:46

今天无意间看到了许多奇怪的进程,占用CPU还挺多的,

于是 lastb

查看登录失败日志,发现都被写爆了,看来很有可能被爆破成功进去了

腾讯云主机被黑

攻击者的地址是同网段的,很有可能云服务器的邻居先被攻下,然后挂着爆破ssh脚本来24小时破解

看到这个马上首先做的就是禁了IP

iptables -A INPUT -d xxx.xxx.xxx.xxx  -j DROP

 

然后去查看history来过滤当天操作情况

结果发现没有异常,很明显被做了痕迹清理

 

然后就是改密码,查看端口是否异常

netstat -antpu 发现开了奇怪的端口,其进程是 wget 和 curl

因为立刻把它kill掉,所以下面没有图,口头描述

 

发现进程后,立刻用kill杀掉,结果马上又出现了新的wget 和 curl进程

于是联想到 crontab -e 是不是给人弄了,用vim打开一看,大吃一惊

 

感觉就像你很久没回家,有一天回家感觉衣柜不对劲,打开一看里面一堆老鼠

背对着你啃着肉,还没意识到你打开门的那种感觉

 

crontab 也被我立刻删了然后:wq 没有截个图,

但主要发现大概是连接了一个挖矿的地址: http://218.248.40.228:8443/i.sh

sodan一查,印度那边的

 

腾讯云主机被黑

 

其次就是 vim /etc/crontab

腾讯云主机被黑

 

查看了一下wipefs是什么

腾讯云主机被黑

防不胜防啊

 

还能说啥,按照这个来防呗

https://www.cnblogs.com/dpf-learn/p/7792806.html