1.登录上服务器发先服务器非常卡,直接使用top -c命令检查进程CPU的占用率,果然发现了问题,看图
![](https://i-blog.csdnimg.cn/blog_migrate/c96428a2e8add46b6ef0871b2ed0d0fa.png)
./xrx 占用了200%的内存
2.查看定时任务,是否有不明的定时任务
①使用crontab -l命令查看,没有发现不明定时任务
②cat /etc/crontab,同样没有发现不明定时任务
![](https://i-blog.csdnimg.cn/blog_migrate/adffe42964cb2f451be821ba3aaa278d.png)
![](https://i-blog.csdnimg.cn/blog_migrate/444c0d0c3e0164e6993122ad661da997.png)
3.检查端口的状态
netstat -aulntp
有很多tcp和udp的连接
![](https://i-blog.csdnimg.cn/blog_migrate/c3ef099260821a59beed29032d3e96b9.png)
4.第一次处理:
强制杀死进程: kill -9 2286574
![](https://i-blog.csdnimg.cn/blog_migrate/435d6250292427ed4bc2a6cae18dc881.png)
5.杀死进程查看CPU回归正常
![](https://i-blog.csdnimg.cn/blog_migrate/506edb7c5aa2e305a3f51372fe4fecf0.png)
到此还不算彻底解决,因为定时任务里面我们找遍了都找不到,所以前面我们猜测可能挖矿程序放在启动文件里面的,因为我这个是用来做测试的服务器,上面没有业务,随时都可以重启,所以直接就进行重启认证,没有先去检查启动文件(我承认这一步我浪了。。。)
6.重启果不其然
进程又启动了,CPU又被占满了,现在基本可以确定程序就放在启动文件里面,接下来去检查一下启动文件
7.检查开机启动项
①检查/etc/init.d/目录下是否有可疑程序,检查后发现没有
![](https://i-blog.csdnimg.cn/blog_migrate/8ece3a0272c6cab64cbac609e1d86709.png)
②检查/etc/rc.local(因为/etc/rc.local文件是/etc/rc.d/rc.local文件的软链接,所以只要检查/etc/rc.local文件就可以了)
![](https://i-blog.csdnimg.cn/blog_migrate/56f6b972634f760ea60663a19ae7b872.png)
分别查看这些启动文件中的内容
将该文件备份,删除reboot
重启后
![](https://i-blog.csdnimg.cn/blog_migrate/7ad16ad9719620a680d425166d365eb9.png)
8.cpu问题暂时解决
但是ssh连接问题仍在继续
查看日志
/var/log/auth
![](https://i-blog.csdnimg.cn/blog_migrate/c079abee0d5e7c34d9b3fbdc917776ac.png)
139.59.20.91
139.162.123.165
180.211.137.27
177.8.172.254
![](https://i-blog.csdnimg.cn/blog_migrate/41c3f24f91e95a4bc40dded2d3dfc1ea.png)
显然是被人使用密码暴力破解了
相反她们也都开启22端口
github搜索暴力破解工具实施暴力破解
预防方案
可以将ip写入iptables禁止登录
#!/bin/bash
#功能:实现防ssh暴力破解
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"=" $1;}' > /tmp/hack-ssh.txt //查看Linux登录日志 输出
DEFINE="10"//登录错误10次
for i in `cat /tmp/hack-ssh.txt`
do
IP=`echo $i|awk -F= '{print $1}'`
NUM=`echo $i|awk -F= '{print $2}'`
if [ $NUM -gt $DEFINE ]
then
grep $IP /etc/hosts.deny >/dev/null //看看ip是否存在
if [ $? -gt 0 ]; //若不存在,则执行下面的语句
then
echo "sshd:$IP" >> /etc/hosts.deny
fi
fi
done
https://github.com/briteming/Fail2ban
自助修改
![](https://i-blog.csdnimg.cn/blog_migrate/e479bdb14f544d74a27bb7768e4b7a16.png)