Centos7中病毒排查[tsm][kswapd0]

 

1. 大清早看到腾讯云的短信，说检测到木马文件

心想管他呢，昨天刚重装的腾讯云主机，就上了一个服务，坑人的吧

1. 开始我的一天的学习，我插，我的app竟然连不上我的pg了，我就去我的腾讯云主机上看看。

我的容器呢，一看，容器停了，算啦，手动重启下

我去，什么情况

1. 想到今早的病毒信息，就去看了下腾讯云的消息

       看一下主机的资源使用情况

1. 赶紧去百度，没找到相关问题

kswapd0 是系统的虚拟内存管理程序，如果物理内存不够用，系统就会唤醒 kswapd0 进程，由 kswapd0 分配磁盘交换空间作缓存，因而占用大量的 CPU 资源。（copy）

又要重装了，汗颜。

1. 算啦，发时间看看啥问题。

先按照腾讯云文档给的建议走走

腾讯云文档url：https://cloud.tencent.com/document/product/296/9604

== last  命令无异常

less /var/log/secure|grep 'Accepted'

查了一个ip，为美国的

看来是被攻击了，还是用root ssh上来的。----可能我的root密码太简单了吧

1. 找找病毒在哪里

netstat -ntlp

貌似没啥问题呢

netstat -antlp

很多这样的消息，之前一直不怎么理解netstat的-a选项，这次又去查了下看

-a就是显示所有的连接信息，也就是除了显示程序监听的端口外，如果有其他程序连接到这个程序所提供的端口上，也会把这些连接显示出来

7. 在这里看到了tsm这个进程，就连滚带爬的去看看这个程序的状态以及运行位置

       貌似找到那个程序的问题了

       与腾讯云描述的木马文件位置相符。准备copy一份到电脑上看看，一看好像是c写的

       就放弃了。

 

1. 下面我打算清掉这些东西

1. 先去杀进程

1. 删除病毒目录

1. 查看并修改定时任务

crontab -e  全部清清清

好像没什么了

1. 但是我的cpu并没有降下来

1）ps aux

2) 再看下端口的使用情况

 

连接的端口在tsm进程被干掉之后少了很多，现在我要看下除了标红的我自己，竟然还进程在跑

1. 改个root密码先

Passwd root  xxxxxxxxxxxxxxxxxxxxxxxxx

1. 不知道谁啥情况

貌似还有残留

rm -rf /root/.configrc

在kswapd0的进程被杀掉之后，服务器使用率正常了

1. 再看一眼端口的交互，我插，还有

kill -9 28501

   日了狗了，还要给，显示sshd的，到底是什么东西的

怀疑是这个进程，一看，是腾讯的进程

 

看一下开机启动

1. 重启下机器在看看，发现程序外部通信了。简单的总结到这
   1. 我是小菜鸡，就是跟着进程找找目录，然后杀进程，清目录，清定时任务

安全建议

1. 尽量用密钥连接服务器，禁用账号密码连接
2. 封闭不使用的端口，做到用一个开一个（通过防火墙和安全组策略）
3. 密码增强复杂性
4. 及时修补系统和软件漏洞

我就知道这么多，求大神指点。