码迷,mamicode.com
首页 > 其他好文 > 详细

记一次机器机器被黑经历——一直发送SSH请求,kswapd0、tsm内存占用过高

时间:2020-06-11 10:46:50      阅读:173      评论:0      收藏:0      [点我收藏+]

标签:alt   文件   图片   定位   image   href   crontab   初步   blog   

起因

今天收到ISP供应商反馈,公司公网地址被国外某机构加入网络黑名单,一直试图登录对方服务器。
通过登录网关设备发现内网一台centos服务器一直在发送ssh登录请求。
过程:
1.初步排查
登录该机器发现有两个进程内存占用有点高
如下图:
技术图片
查看除系统外正在运行的进程,发现有几个陌生的进程

ps  -aux | grep -v ‘]‘

技术图片
通过度娘搜索 其中关键词 发现 可能是中招了 (感谢CSDN两位大大,参考链接见文末)

2.根据PID进一步定位文件位置

lsof -p 14176  | more

技术图片
进一步查找文件位置
技术图片
3.删除源文件,杀死进程
技术图片
技术图片
4.进一步查找,是否有定时进程

cat /etc/passwd | grep ‘bash‘ | cut -f 1 -d : | xargs -I {} crontab -l -u {}

技术图片
5.清除定时任务,防止再生
技术图片

参考链接:
1.https://blog.csdn.net/qq_35456400/article/details/106467778
2.https://blog.csdn.net/subfate/article/details/106546646

记一次机器机器被黑经历——一直发送SSH请求,kswapd0、tsm内存占用过高

标签:alt   文件   图片   定位   image   href   crontab   初步   blog   

原文地址:https://blog.51cto.com/anyue007/2503432

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!