一、问题发现
最新在使用腾讯云部署项目应用,具体方式为docker部署。今天早上发现腾讯云发来一条报警信息:
看到信息中说到攻击行为,怀疑是否中了病毒,决定排查一下问题。
二、排查过程
首先登录腾讯云服务器控制台,发现cpu占用率处于较高水平,接下来登录服务器排查。
1.使用last查看最近登录信息,没有发现什么特别信息;
2.使用history查看历史指令
此时发现所有的histroy都被清空,然而本人并没有更改过设置,昨天使用history还正常,此时立马引起了我的警惕。
3.查看/etc/passwd下的账户信息
此时发现多了一个叫hilde的用户。
此时尝试使用 usermod -L hilde锁定hilde用户,发现并没有权限。