凌晨三点,就被云服务商吵醒,被黑客ssh爆破登录. 发现刚搭建的vsftp服务存储目录下有三个可执行文件,系统排查为高危,幸亏及时poweroff了,今早排查问题
问题排查
先top一下
发现ftpuser下有个进程在占用大量cpu.
执行
sudo pstree -asp pid,
[lighthouse@VM-12-12-opencloudos ~]$ sudo pstree -asp 2071
systemd,1 --switched-root --system --deserialize 16
└─xmrig,2071
├─{xmrig},2072
├─{xmrig},2073
├─{xmrig},2074
├─{xmrig},2075
├─{xmrig},2076
├─{xmrig},2120
├─{xmrig},2121
├─{xmrig},2122
└─{xmrig},2123
发现它开了数个进程在运行.
执行ps -aux |grep pid
查看这个进程连接了哪个ip
sudo netstat -anp |grep pid
发现连接的是一个瑞典的ip.
解决
- 删除问题elf文件
- 查看定时任务,
sudo corntab -l
清除定时任务,
sudo corntab -r,然后重启,问题解决.
之后,把ssh服务端口更改.以防黑客再次入侵.
