一次腾讯云centos服务器被入侵的处理

  昨天一大早,我还没到公司呢,就收到腾讯云安全中心发来的服务器异常登录告警,登录控制台一看,ip还是美国的,一脸懵逼。由于本人之前也没有过处理服务器入侵的经验,而且这台服务器目前还没有部署商用系统,所以也就没怎么在意,照着云安全中心提示的可疑文件的位置,将其删除,就这样交差了。其实我知道这样肯定是不行的,但是确实很烦去处理这种事情。果然,下午又收到了告警。这是公司的电脑,老板很在意,刚好手上的事情忙完了,今天就特意花时间查了查,记录一下排查过程。

  首先,还是上控制台,看一下告警的信息,告警显示的登录ip来自美国,登录账号竟然还是 root (感觉好牛批。之前我自己个人的服务器被入侵,还是被建了一个 test 用户进行操作的。),告警信息提示可以文件有两处:

    /tmp/SzdXM 和 /usr/bin/dznqfa4

    一次腾讯云centos服务器被入侵的处理_第1张图片

 

 

     一次腾讯云centos服务器被入侵的处理_第2张图片

 

 

   这次我没有急着把他们删除,而是先查看一下进程,果不其然,有几个对应的进程:

    

 

 

   查看完进程,再看一下连接,发现这些进程打开了 100 多个连接,并且连接的目标ip都不同:

    一次腾讯云centos服务器被入侵的处理_第3张图片

   虽然查到了进程和连接,但这只能证明服务器确实被入侵了。但是怎么入侵的呢?其实我的 root 密码是20+位数字大小写字母和特殊符号组合密码,

你可能感兴趣的:(一次腾讯云centos服务器被入侵的处理)