Centos7中病毒排查[tsm][kswapd0]
- 大清早看到腾讯云的短信,说检测到木马文件
心想管他呢,昨天刚重装的腾讯云主机,就上了一个服务,坑人的吧
- 开始我的一天的学习,我插,我的app竟然连不上我的pg了,我就去我的腾讯云主机上看看。
我的容器呢,一看,容器停了,算啦,手动重启下
我去,什么情况
- 想到今早的病毒信息,就去看了下腾讯云的消息
看一下主机的资源使用情况
- 赶紧去百度,没找到相关问题
kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。(copy)
又要重装了,汗颜。
- 算啦,发时间看看啥问题。
先按照腾讯云文档给的建议走走
腾讯云文档url:https://cloud.tencent.com/document/product/296/9604
== last 命令无异常
less /var/log/secure|grep 'Accepted'
查了一个ip,为美国的
看来是被攻击了,还是用root ssh上来的。----可能我的root密码太简单了吧
- 找找病毒在哪里
netstat -ntlp
貌似没啥问题呢
netstat -antlp
很多这样的消息,之前一直不怎么理解netstat的-a选项,这次又去查了下看
-a就是显示所有的连接信息,也就是除了显示程序监听的端口外,如果有其他程序连接到这个程序所提供的端口上,也会把这些连接显示出来
7. 在这里看到了tsm这个进程,就连滚带爬的去看看这个程序的状态以及运行位置
貌似找到那个程序的问题了
与腾讯云描述的木马文件位置相符。准备copy一份到电脑上看看,一看好像是c写的
就放弃了。
- 下面我打算清掉这些东西
- 先去杀进程
- 删除病毒目录
- 查看并修改定时任务
crontab -e 全部清清清
好像没什么了
- 但是我的cpu并没有降下来
1)ps aux
2) 再看下端口的使用情况
连接的端口在tsm进程被干掉之后少了很多,现在我要看下除了标红的我自己,竟然还进程在跑
- 改个root密码先
Passwd root xxxxxxxxxxxxxxxxxxxxxxxxx
- 不知道谁啥情况
貌似还有残留
rm -rf /root/.configrc
在kswapd0的进程被杀掉之后,服务器使用率正常了
- 再看一眼端口的交互,我插,还有
kill -9 28501
日了狗了,还要给,显示sshd的,到底是什么东西的
怀疑是这个进程,一看,是腾讯的进程
看一下开机启动
- 重启下机器在看看,发现程序外部通信了。简单的总结到这
- 我是小菜鸡,就是跟着进程找找目录,然后杀进程,清目录,清定时任务
安全建议
- 尽量用密钥连接服务器,禁用账号密码连接
- 封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)
- 密码增强复杂性
- 及时修补系统和软件漏洞
我就知道这么多,求大神指点。
Centos7中病毒排查[tsm][kswapd0]相关推荐
- linux中病毒排查步骤,linux系统下病毒排除思路
1.top查看是否有特别吃cpu和内存的进程,病毒进程kill是杀不死的,因为ps命令被修改 2.ls -la /proc/病毒进程pid/ pwd为病毒进程程序目录 一般在/usr/bin下 3. ...
- linux服务器中病毒后的清除处理
linux服务器中病毒后的清除处理 之前看到公司同事在部署服务器的时候,发现中了挖矿病毒,很是恼火.因为我平时很少接触服务器,一般都是部署项目,配置域名就完事.所以遇到这种情况,只能在一旁看着干着急. ...
- centos7中使用yum安装tomcat以及它的启动、停止、重启
centos7中使用yum安装tomcat 介绍 Apache Tomcat是用于提供Java应用程序的Web服务器和servlet容器. Tomcat是Apache Software Foundat ...
- SQL数据库无法附加 系统表损坏修复 数据库中病毒解密恢复
SQL数据库无法附加 系统表损坏修复 数据库中病毒解密恢复 开发此工具是为了 让手工恢复数据库物理故障时 更加简单便捷直观, 本工具用于物理修复独立处理大部分问题以及与DBCC配合完成修复各种数据库错 ...
- 使用ssh连接到centos7中docker容器
docker现在越来越流行,接下来为大家介绍一下如何使用ssh连接docker. 任务 使用ssh连接到centos7中docker容器 实验步骤 因为docker中容器的ip通常来说是和真机以及ce ...
- CentOS7中使用yum安装Nginx的方法
最近无意间发现Nginx官方提供了Yum源.因此写个文章记录下. 1.添加源 默认情况Centos7中无Nginx的源,最近发现Nginx官网提供了Centos的源地址.因此可以如下执行命令添加源: ...
- 病毒入侵计算机的危害,那些年电脑中过的病毒,中病毒的危害又有哪些
相信大家都知道电脑它已经成为现在人们生活中的一部分,不管是娱乐还是工作,同时它也给人们带来很多的方便,但是我们知道如果没有合理的应用讲呢就是会中病毒,这样给我们使用就会带来了一些烦恼. 下面小编就来 ...
- centos7中mysql不能输入中文问题的解决
centos7中mysql不能输入中文问题的解决 参考文章: (1)centos7中mysql不能输入中文问题的解决 (2)https://www.cnblogs.com/qiangayz/p/868 ...
- linux无法运行病毒,{转}为什么linux系统不容易中病毒?
该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 为什么linux系统不容易中病毒 可能不少人持这样一种观点,认为 Linux 病毒少是因为Linux不像Windows那么普及,其实这种观点很早已经被人批 ...
最新文章
- php oracle count,调用Count列php mysql
- linux打理ftp用户,Linux中如何添加/删除FTP用户并设置权限
- 13成都邀请赛 1005 Naive and Silly Muggles
- diff 命令,防止遗忘
- matlab批量修改txt内容_MATLAB作图实例:18:为饼图添加文本标签和百分比
- 2019.5.18-5.19 ACM-ICPC 全国邀请赛(西安)赛后总结
- vue的实例属性$options
- Java实现海报+二维码+二维码中间log+文字合并高清图片
- p6spy mysql8_P6Spy配置使用
- “OpenFeign“ 调取第三方服务接口时出现的“Connection reset“ 解决方案
- 微信公众号最佳实践 ( 10.3)获取微信版本及手机系统
- 微信公众平台:JustOracle(微信号:justoracle)现已开通,热忱欢迎你的加入
- python的整体设计目标_python之总体理解
- photoSwipe插件使用
- java p2p技术内幕.pdf_JavaP2P技术内幕
- 测试工程师应该具备的软性能力有哪些?
- C语言康威生命游戏,【2020存档】康威生命游戏(CGoL)研究进展
- 改之理无法安装java_用改之理3.5反编译失败
- MD5科普(二):MD5算法详解/如何改进MD5算法?
- ft4232树莓派linux扩展串口,如何实现STM32和树莓派串口透传?