今天无意间看到了许多奇怪的进程,占用CPU还挺多的,
于是 lastb
查看登录失败日志,发现都被写爆了,看来很有可能被爆破成功进去了
攻击者的地址是同网段的,很有可能云服务器的邻居先被攻下,然后挂着爆破ssh脚本来24小时破解
看到这个马上首先做的就是禁了IP
iptables -A INPUT -d xxx.xxx.xxx.xxx -j DROP
然后去查看history来过滤当天操作情况
结果发现没有异常,很明显被做了痕迹清理
然后就是改密码,查看端口是否异常
netstat -antpu 发现开了奇怪的端口,其进程是 wget 和 curl
因为立刻把它kill掉,所以下面没有图,口头描述
发现进程后,立刻用kill杀掉,结果马上又出现了新的wget 和 curl进程
于是联想到 crontab -e 是不是给人弄了,用vim打开一看,大吃一惊
感觉就像你很久没回家,有一天回家感觉衣柜不对劲,打开一看里面一堆老鼠
背对着你啃着肉,还没意识到你打开门的那种感觉
crontab 也被我立刻删了然后:wq 没有截个图,
但主要发现大概是连接了一个挖矿的地址: http://218.248.40.228:8443/i.sh
sodan一查,印度那边的
其次就是 vim /etc/crontab
查看了一下wipefs是什么
防不胜防啊
还能说啥,按照这个来防呗
https://www.cnblogs.com/dpf-learn/p/7792806.html