收到违规提醒:服务器存在对外攻击行为,已阻断对其他服务器22端口的访问。
问题定位
1.查看端口使用情况
既然和22端口有关,那就先查看22端口的使用情况: `netstat -anp|grep :22`
2.查看进程信息
从上面可以看到,访问22端口的是`11564/ld-musl-x86`进程。查看进程相关信息`ps -ef |grep 11564`
3.初步处理
杀死进程`kill -9 11564` ,删除可执行文件 `rm -r /dev/shm/ld-musl-x86`
等待第二天解封后,查看结果。
再次违规封禁
没想到睡了一觉就忘了这茬事儿,直到晚上11点,又收到了腾讯云的短信。按之前的流程查看情况,发现昨天删除的文件又出现了,文件创建时间在凌晨。我猜测是服务器被入侵,或者是服务器上还有别的脚本没有被删除干净。
1.修改服务器密码
修改了服务器登录密码,对22端口加了ip白名单。