zoukankan      html  css  js  c++  java
  • 腾讯云主机被黑

    今天无意间看到了许多奇怪的进程,占用CPU还挺多的,

    于是 lastb

    查看登录失败日志,发现都被写爆了,看来很有可能被爆破成功进去了

    攻击者的地址是同网段的,很有可能云服务器的邻居先被攻下,然后挂着爆破ssh脚本来24小时破解

    看到这个马上首先做的就是禁了IP

    iptables -A INPUT -d xxx.xxx.xxx.xxx  -j DROP

    然后去查看history来过滤当天操作情况

    结果发现没有异常,很明显被做了痕迹清理

    然后就是改密码,查看端口是否异常

    netstat -antpu 发现开了奇怪的端口,其进程是 wget 和 curl

    因为立刻把它kill掉,所以下面没有图,口头描述

    发现进程后,立刻用kill杀掉,结果马上又出现了新的wget 和 curl进程

    于是联想到 crontab -e 是不是给人弄了,用vim打开一看,大吃一惊

    感觉就像你很久没回家,有一天回家感觉衣柜不对劲,打开一看里面一堆老鼠

    背对着你啃着肉,还没意识到你打开门的那种感觉

    crontab 也被我立刻删了然后:wq 没有截个图,

    但主要发现大概是连接了一个挖矿的地址: http://218.248.40.228:8443/i.sh

    sodan一查,印度那边的

    其次就是 vim /etc/crontab

    查看了一下wipefs是什么

    防不胜防啊

    还能说啥,按照这个来防呗

    https://www.cnblogs.com/dpf-learn/p/7792806.html

  • 相关阅读:
    CSS 兼容 总结
    IF IE
    取消chrome浏览器下input和textarea的默认样式
    左右浮动边距为0,中间间隔一定
    标题右边10px位置紧跟发布时间
    两款CSS3样式可视化在线生成工具
    文字截取,多余文字用省略号(...)代替
    O
    N
    M
  • 原文地址:https://www.cnblogs.com/demonxian3/p/8243988.html
Copyright © 2011-2022 走看看