V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
t202201
V2EX  ›  问与答

腾讯云轻量服务器疑似被入侵,应该怎么处理

  •  
  •   t202201 · 69 天前 · 1152 次点击
    这是一个创建于 69 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今早起来,收到腾讯云的短信,提示我轻量服务器可能在执行挖矿程序,我当时就有些无语,2c2g 的轻量有什么值得来挖矿的。

    后来联想到自己最近这些天用 frp 反向代理了本地的一个游戏专服,使用了 udp 协议,最初怀疑是这个导致的,于是登录服务器进去看看,发现一直 ssh 登不进去了。

    后来一阵捣鼓,还是绑定了密钥,通过 vnc 登录了,进去之后首先看看自己的 sshd_config 文件 发现端口号竟然被改了,其他内容我没有印象,所以不知道有没有改动了,然后通过 ls -l 发现这个文件在 9 月 19 号 17:18 被修改。

    接着我看了一下 authorized_keys 文件,没有发现异常,查看我自己开的几个服务,也没有问题。

    最后通过 top -c 查看 cpu 的状态,基本也是维持在很低的占用,所以很好奇就是怎么回事。

    有没有大佬可以指点一下,我该怎么排除这次问题呢

    8 条回复    2024-09-20 17:06:58 +08:00
    lzy250
        1
    lzy250  
       69 天前
    top 被改了,用 busybox 。
    totoro625
        2
    totoro625  
       69 天前
    有重要数据就抢救一下,不然就重装系统
    ZingLix
        3
    ZingLix  
       69 天前
    用 unhide 看看有没有隐藏的进程,但 kill 这些进程也没啥用,可能放在 service 里过一会儿又起来了
    imnpc
        4
    imnpc  
       69 天前
    被黑除了重装没办法 自己想办法备份数据 格式化重装 不要随便开第三方软件服务
    liuzimin
        5
    liuzimin  
       69 天前
    时不时看到大伙有云服务器被入侵的情况。请问这种情况应该如何预防呢?
    dp
        6
    dp  
       69 天前
    阿里云小鸡 前段时间也遇到过一次 是因为 postgresql 的密码太弱导致的
    totoro625
        7
    totoro625  
       69 天前   ❤️ 1
    @liuzimin #5 长密码/密钥登录/防火墙/不用 root
    coolcoffee
        8
    coolcoffee  
       69 天前   ❤️ 1
    @liuzimin 除了 80 、443 、22 等必须开的,其它的都可以关掉。禁用密码只允许 ssh 密钥登录,sql 、redis 等服务尽量用 bitnami 提供的非 root 用户镜像,如果开发需要连接服务那么就通过 tailscale 、openvpn 组网方式连接。

    我手上常年维护着二三十台服务器,没有发生过一起被黑的情况。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1220 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 18:31 · PVG 02:31 · LAX 10:31 · JFK 13:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.