今早起来,收到腾讯云的短信,提示我轻量服务器可能在执行挖矿程序,我当时就有些无语,2c2g 的轻量有什么值得来挖矿的。
后来联想到自己最近这些天用 frp 反向代理了本地的一个游戏专服,使用了 udp 协议,最初怀疑是这个导致的,于是登录服务器进去看看,发现一直 ssh 登不进去了。
后来一阵捣鼓,还是绑定了密钥,通过 vnc 登录了,进去之后首先看看自己的 sshd_config 文件 发现端口号竟然被改了,其他内容我没有印象,所以不知道有没有改动了,然后通过 ls -l 发现这个文件在 9 月 19 号 17:18 被修改。
接着我看了一下 authorized_keys 文件,没有发现异常,查看我自己开的几个服务,也没有问题。
最后通过 top -c 查看 cpu 的状态,基本也是维持在很低的占用,所以很好奇就是怎么回事。
有没有大佬可以指点一下,我该怎么排除这次问题呢
1
lzy250 96 天前
top 被改了,用 busybox 。
|
2
totoro625 96 天前
有重要数据就抢救一下,不然就重装系统
|
3
ZingLix 96 天前
用 unhide 看看有没有隐藏的进程,但 kill 这些进程也没啥用,可能放在 service 里过一会儿又起来了
|
4
imnpc 96 天前
被黑除了重装没办法 自己想办法备份数据 格式化重装 不要随便开第三方软件服务
|
5
liuzimin 96 天前
时不时看到大伙有云服务器被入侵的情况。请问这种情况应该如何预防呢?
|
6
dp 96 天前
阿里云小鸡 前段时间也遇到过一次 是因为 postgresql 的密码太弱导致的
|
8
coolcoffee 96 天前 1
@liuzimin 除了 80 、443 、22 等必须开的,其它的都可以关掉。禁用密码只允许 ssh 密钥登录,sql 、redis 等服务尽量用 bitnami 提供的非 root 用户镜像,如果开发需要连接服务那么就通过 tailscale 、openvpn 组网方式连接。
我手上常年维护着二三十台服务器,没有发生过一起被黑的情况。 |