1.登录上服务器发先服务器非常卡,直接使用top -c命令检查进程CPU的占用率,果然发现了问题,看图
./xrx 占用了200%的内存
2.查看定时任务,是否有不明的定时任务
①使用crontab -l命令查看,没有发现不明定时任务
②cat /etc/crontab,同样没有发现不明定时任务
3.检查端口的状态
netstat -aulntp
有很多tcp和udp的连接
4.第一次处理:
强制杀死进程: kill -9 2286574
5.杀死进程查看CPU回归正常
到此还不算彻底解决,因为定时任务里面我们找遍了都找不到,所以前面我们猜测可能挖矿程序放在启动文件里面的,因为我这个是用来做测试的服务器,上面没有业务,随时都可以重启,所以直接就进行重启认证,没有先去检查启动文件(我承认这一步我浪了。。。)
6.重启果不其然
进程又启动了,CPU又被占满了,现在基本可以确定程序就放在启动文件里面,接下来去检查一下启动文件
7.检查开机启动项
①检查/etc/init.d/目录下是否有可疑程序,检查后发现没有
②检查/etc/rc.local(因为/etc/rc.local文件是/etc/rc.d/rc.local文件的软链接,所以只要检查/etc/rc.local文件就可以了)
分别查看这些启动文件中的内容
将该文件备份,删除reboot
重启后
8.cpu问题暂时解决
但是ssh连接问题仍在继续
查看日志
/var/log/auth
139.59.20.91
139.162.123.165
180.211.137.27
177.8.172.254
显然是被人使用密码暴力破解了
相反她们也都开启22端口
github搜索暴力破解工具实施暴力破解
预防方案
可以将ip写入iptables禁止登录
#!/bin/bash
#功能:实现防ssh暴力破解
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"=" $1;}' > /tmp/hack-ssh.txt //查看Linux登录日志 输出
DEFINE="10"//登录错误10次
for i in `cat /tmp/hack-ssh.txt`
do
IP=`echo $i|awk -F= '{print $1}'`
NUM=`echo $i|awk -F= '{print $2}'`
if [ $NUM -gt $DEFINE ]
then
grep $IP /etc/hosts.deny >/dev/null //看看ip是否存在
if [ $? -gt 0 ]; //若不存在,则执行下面的语句
then
echo "sshd:$IP" >> /etc/hosts.deny
fi
fi
done
https://github.com/briteming/Fail2ban
自助修改
829
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
