您的位置:首页 > 其它

记一次机器机器被黑经历——一直发送SSH请求,kswapd0、tsm内存占用过高

2020-06-10 18:55 471 查看

起因

今天收到ISP供应商反馈,公司公网地址被国外某机构加入网络黑名单,一直试图登录对方服务器。
通过登录网关设备发现内网一台centos服务器一直在发送ssh登录请求。
过程:
1.初步排查
登录该机器发现有两个进程内存占用有点高
如下图:

查看除系统外正在运行的进程,发现有几个陌生的进程

ps  -aux | grep -v ']'


通过度娘搜索 其中关键词 发现 可能是中招了 (感谢CSDN两位大大,参考链接见文末)

2.根据PID进一步定位文件位置

lsof -p 14176  | more


进一步查找文件位置

3.删除源文件,杀死进程


4.进一步查找,是否有定时进程

cat /etc/passwd | grep 'bash' | cut -f 1 -d : | xargs -I {} crontab -l -u {}


5.清除定时任务,防止再生

参考链接:
1.https://blog.csdn.net/qq_35456400/article/details/106467778
2.https://blog.csdn.net/subfate/article/details/106546646

内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: