Centos7中病毒排查[tsm][kswapd0]

 

  1. 大清早看到腾讯云的短信,说检测到木马文件

心想管他呢,昨天刚重装的腾讯云主机,就上了一个服务,坑人的吧

  1. 开始我的一天的学习,我插,我的app竟然连不上我的pg了,我就去我的腾讯云主机上看看。

Centos7中病毒排查[tsm][kswapd0]_第1张图片

我的容器呢,一看,容器停了,算啦,手动重启下

我去,什么情况

  1. 想到今早的病毒信息,就去看了下腾讯云的消息

Centos7中病毒排查[tsm][kswapd0]_第2张图片

       看一下主机的资源使用情况

Centos7中病毒排查[tsm][kswapd0]_第3张图片

  1. 赶紧去百度,没找到相关问题

kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。(copy)

又要重装了,汗颜。

  1. 算啦,发时间看看啥问题。

先按照腾讯云文档给的建议走走

腾讯云文档url:https://cloud.tencent.com/document/product/296/9604

== last  命令无异常

less /var/log/secure|grep 'Accepted'

Centos7中病毒排查[tsm][kswapd0]_第4张图片

查了一个ip,为美国的

看来是被攻击了,还是用root ssh上来的。----可能我的root密码太简单了吧

  1. 找找病毒在哪里

netstat -ntlp

貌似没啥问题呢

netstat -antlp

Centos7中病毒排查[tsm][kswapd0]_第5张图片

很多这样的消息,之前一直不怎么理解netstat的-a选项,这次又去查了下看

-a就是显示所有的连接信息,也就是除了显示程序监听的端口外,如果有其他程序连接到这个程序所提供的端口上,也会把这些连接显示出来

7. 在这里看到了tsm这个进程,就连滚带爬的去看看这个程序的状态以及运行位置

Centos7中病毒排查[tsm][kswapd0]_第6张图片

       貌似找到那个程序的问题了

       与腾讯云描述的木马文件位置相符。准备copy一份到电脑上看看,一看好像是c写的

       就放弃了。

 

  1. 下面我打算清掉这些东西
  1. 先去杀进程

Centos7中病毒排查[tsm][kswapd0]_第7张图片

  1. 删除病毒目录

  1. 查看并修改定时任务

Centos7中病毒排查[tsm][kswapd0]_第8张图片

crontab -e  全部清清清

Centos7中病毒排查[tsm][kswapd0]_第9张图片

Centos7中病毒排查[tsm][kswapd0]_第10张图片

Centos7中病毒排查[tsm][kswapd0]_第11张图片

Centos7中病毒排查[tsm][kswapd0]_第12张图片

Centos7中病毒排查[tsm][kswapd0]_第13张图片

好像没什么了

  1. 但是我的cpu并没有降下来

1)ps aux

Centos7中病毒排查[tsm][kswapd0]_第14张图片

2) 再看下端口的使用情况

 

连接的端口在tsm进程被干掉之后少了很多,现在我要看下除了标红的我自己,竟然还进程在跑

Centos7中病毒排查[tsm][kswapd0]_第15张图片

  1. 改个root密码先

Passwd root  xxxxxxxxxxxxxxxxxxxxxxxxx

  1. 不知道谁啥情况

Centos7中病毒排查[tsm][kswapd0]_第16张图片

貌似还有残留

Centos7中病毒排查[tsm][kswapd0]_第17张图片

rm -rf /root/.configrc

Centos7中病毒排查[tsm][kswapd0]_第18张图片

在kswapd0的进程被杀掉之后,服务器使用率正常了

Centos7中病毒排查[tsm][kswapd0]_第19张图片

  1. 再看一眼端口的交互,我插,还有

Centos7中病毒排查[tsm][kswapd0]_第20张图片

kill -9 28501

Centos7中病毒排查[tsm][kswapd0]_第21张图片   日了狗了,还要给,显示sshd的,到底是什么东西的

怀疑是这个进程,一看,是腾讯的进程

Centos7中病毒排查[tsm][kswapd0]_第22张图片

 

看一下开机启动

Centos7中病毒排查[tsm][kswapd0]_第23张图片

  1. 重启下机器在看看,发现程序外部通信了。简单的总结到这
    1. 我是小菜鸡,就是跟着进程找找目录,然后杀进程,清目录,清定时任务

安全建议

  1. 尽量用密钥连接服务器,禁用账号密码连接
  2. 封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)
  3. 密码增强复杂性
  4. 及时修补系统和软件漏洞

我就知道这么多,求大神指点。

 

你可能感兴趣的:(Centos7中病毒排查[tsm][kswapd0])