标签:alt 文件 图片 定位 image href crontab 初步 blog
起因今天收到ISP供应商反馈,公司公网地址被国外某机构加入网络黑名单,一直试图登录对方服务器。
通过登录网关设备发现内网一台centos服务器一直在发送ssh登录请求。
过程:
1.初步排查
登录该机器发现有两个进程内存占用有点高
如下图:
查看除系统外正在运行的进程,发现有几个陌生的进程
ps -aux | grep -v ‘]‘
通过度娘搜索 其中关键词 发现 可能是中招了 (感谢CSDN两位大大,参考链接见文末)
2.根据PID进一步定位文件位置
lsof -p 14176 | more
进一步查找文件位置
3.删除源文件,杀死进程
4.进一步查找,是否有定时进程
cat /etc/passwd | grep ‘bash‘ | cut -f 1 -d : | xargs -I {} crontab -l -u {}
5.清除定时任务,防止再生
参考链接:
1.https://blog.csdn.net/qq_35456400/article/details/106467778
2.https://blog.csdn.net/subfate/article/details/106546646
记一次机器机器被黑经历——一直发送SSH请求,kswapd0、tsm内存占用过高
标签:alt 文件 图片 定位 image href crontab 初步 blog
原文地址:https://blog.51cto.com/anyue007/2503432