一次腾讯云centos服务器被入侵的处理

　　昨天一大早，我还没到公司呢，就收到腾讯云安全中心发来的服务器异常登录告警，登录控制台一看，ip还是美国的，一脸懵逼。由于本人之前也没有过处理服务器入侵的经验，而且这台服务器目前还没有部署商用系统，所以也就没怎么在意，照着云安全中心提示的可疑文件的位置，将其删除，就这样交差了。其实我知道这样肯定是不行的，但是确实很烦去处理这种事情。果然，下午又收到了告警。这是公司的电脑，老板很在意，刚好手上的事情忙完了，今天就特意花时间查了查，记录一下排查过程。

　　首先，还是上控制台，看一下告警的信息，告警显示的登录ip来自美国，登录账号竟然还是 root （感觉好牛批。之前我自己个人的服务器被入侵，还是被建了一个 test 用户进行操作的。），告警信息提示可以文件有两处：

　　　　/tmp/SzdXM 和 /usr/bin/dznqfa4

　　　　

 

 

 　　　　

 

 

 　　这次我没有急着把他们删除，而是先查看一下进程，果不其然，有几个对应的进程：

　　　　

 

 

 　　查看完进程，再看一下连接，发现这些进程打开了 100 多个连接，并且连接的目标ip都不同：

　　　　

 　　虽然查到了进程和连接，但这只能证明服务器确实被入侵了。但是怎么入侵的呢？其实我的 root 密码是20+位数字大小写字母和特殊符号组合密码，