java基础巩固-宇宙第一AiYWM：为了维持生计，做项目经验之~SSM项目错误集锦Part6（服务器被人入侵，记一次排查经验）~整起

开篇，先看一万点暴击：

过程中就是在不断的跟啊*云客服交涉，看怎样解决这个问题。过程中学到了一些东西，然后参考网上老师们的一些文章，总结一下经验。

• 具体现象是：top等命令检查后，总会那么一会服务器 CPU 资源长期 100%，负载较高。服务器上面的服务不能正常提供服务。所以猜想：
  • 服务器被入侵的可能原因：
    • 服务器 ssh 密码 设置得很简单
    • 阿里云安全组范围放得很大
    • 使用了宝塔，宝塔面板的密码也是很简单的密码(应该不是这个入侵入口)。（项目中没使用，但是看到其他老师文章中有此原因，故纳入）
  • 排查和处理步骤：
    • 1.ps -ef / top 找出占用进程最大的服务
    • 2.查找详细的入侵痕迹 last 或者 grep ‘Accepted’ /var/log/secure。我们在这里就可以看到，有一些境外IP 34.215.138.2 成功登录了，这些 IP不是我们的正常登录。 在 /var/log/secure 日志里，我看到了 IP 34.215.138.2 尝试登录不到500次 就已经破解成功了。
      • 处理措施：
        • 第一个措施：
          • 1.在阿里云安全组限制了 SSH 的登录IP， 之前的安全组 SSH 是放行所有IP。后面尝试过用密钥对登陆
          • 2.将 SSH ROOT 密码修改
          • 3./root/.ssh/authorized_keys 备份，并清空。
    • 3.查看最近新增的一些用户：cat /etc/passwd

未完待续…

巨人的肩膀：
计算机网络自顶向下
java基基老师
图解HTTP
网络编程
图解TCP/IP