本人刚入手腾讯云的一台服务器(萌新刚入坑学习需要,主要是开发)
第二天腾讯云就报6379端口对外攻击处理
于是我查了一下
lsof -i:6379
这货可真狠啊…攻击的目标多得我控制台都列不下来
当我top命令查看后,发现rshim占比最高(比第二高远远高出几倍)
这个说实话我还不太清楚是什么,不过据说是linux内核的一种驱动(恕我现在能力不足,还没研究过linux源码)
搜了一下,看到有如下
The rshim driver provides a way to access the rshim resources on the BlueField target from external host machine
上述意思是说“rshim驱动程序提供了一种从外部主机访问BlueField目标上的rshim资源的方法”
我不确定是否有提供外部访问这个功能,但是这个驱动我的确不知道是啥(因为国内资料关于这方面的甚少,不能确定rshim是什么,所以有待核实)
现在措施是,凡是我不认识的进程先关了
那将就备份一下然后开始下面操作~
于是我尝试强关进程
查询
ps -ef | grep rshim | grep -v grep
就出现下图
这进程可真狠,这下子搞得我这萌新懵了,到底怎么办呢,关掉它(外部调用该驱动的病毒程序)还会随机找端口开启(也就是怎么关都关不掉)
于是想了一招,先把这玩意权限调下试试
chmod 600 /usr/sbin/rshim
这样就暂时告一段落啦~
哎…第一次遇到这样的事情…先在此记录一下吧~
后续补充一下:若发现有“hilde”这个用户,一定要删除,这个疑似与此事件有关(因为我这里是没有这个用户的)
userdel -r hilde
关于那货破解服务器的记录,大家可以查这个
cat /var/log/secure
下图只展示小小部分记录