前情

博主在因为获取知识的需求，开通腾讯云-轻量云服务器，在日常使用中没有什么问题，但是最近一直频繁收到邮件提醒，之前也没有想着去解决这个问题，今天又收到，就来解决了一下相关问题。

(TCP22)对外攻击行为导致的封禁

:::info

【腾讯云】服务违规封禁提醒

尊敬的腾讯云用户，您好！
您的账号（账号ID: xxxxxxxxxx，昵称：xxxxxx）下的设备（IP：xx.xxx.xxx.xx）因存在对外攻击行为，已阻断该服务器对其他服务器端口（TCP：22）的访问，阻断预计将在24小时后结束，请及时进行自查整改。
:::

定位以及解决方案

进程定位

对外端口访问-22. netstat -anp |grep :22查看关于 22端口的tcp链接有哪些。

tcp        0      1 10.0.4.15:37772         38.63.157.47:22         SYN_SENT    2151965/tsm
tcp        0      0 10.0.4.15:37574         178.251.26.55:2200      TIME_WAIT   -
tcp        0      0 10.0.4.15:44608         37.221.194.196:222      TIME_WAIT   -
tcp        0      0 10.0.4.15:58980         217.76.200.142:2288     TIME_WAIT   -
tcp        0      0 10.0.4.15:35954         110.7.52.149:22333      TIME_WAIT   -
tcp        0      0 10.0.4.15:40528         218.161.70.6:22223      TIME_WAIT   -
tcp        0      0 10.0.4.15:53196         87.138.223.252:222      TIME_WAIT   -
tcp        0      0 10.0.4.15:39966         167.235.1.139:222       TIME_WAIT   -
tcp        0      0 10.0.4.15:58180         193.42.96.145:22222     TIME_WAIT   -
tcp        0      0 10.0.4.15:53652         38.97.155.72:2222       TIME_WAIT   -
tcp        0      0 10.0.4.15:51772         213.108.9.196:2222      TIME_WAIT   -
tcp        0      0 10.0.4.15:50560         81.149.26.65:2222       TIME_WAIT   -

进程处理

从上边的链接可以看到关于 22 端口的访问的是 2151965/tsm进程在启用。
ps -ef |grep tsm查看 tsm进程的相关信息。

root@VM-4-15-ubuntu:~# ps -ef |grep 2151965
root     2151965 2151961 26 14:41 ?        00:05:05 /dev/shm/.X1z/.rsync/c/lib/64/tsm --library-path /dev/shm/.X1z/.rsync/c/lib/64/ /usr/sbin/httpd sync/c/tsm64 -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
root     2155950 2152928  0 15:01 pts/1    00:00:00 grep --color=auto 2151965

然后杀掉进程 kill -9 2151865

可执行文件处理

根据上述的进程信息，能拿到 tsm可执行的文件的路径，利用 rm -f /dev/shm/.X1z/.rsync/c/lib/64/tsm删除对应的进程文件。以及删除对应文件夹
rm -r /dev/shm/.X1z

链接处理

随后处理已经挂起的链接。tcpkill -i eth0 -9 port 22

root@VM-4-15-ubuntu:~# tcpkill -h
Version: 2.4
Usage: tcpkill [-i interface] [-1..9] expression

执行完成之后，再利用 netstat -anp |grep :22 |wc -l查看现有的链接信息。

定时任务处理

上述工作完成之后，在检查是否相关的定时任务。
crontab -l查看定时任务列表

1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /dev/shm/.X1z/.rsync/c/aptitude>/dev/null 2>&1

根据关键字信息，删除对应的定时任务 crontab -r

kswapd0

木马文件通知
尊敬的腾讯云用户，您好！
您的腾讯云账号（） 下的服务器： [ubuntu20.04]，实例ID：lhins-8skia7gr，地域：港澳台地区 (中国香港)，时间：2022-03-06 05:00:17，检测到存在未处理的木马文件：/tmp/.X25-unix/.rsync/a/kswapd0，您的服务器疑似被黑客入侵，可能造成严重损失，请即刻前往主机安全控制台查看详细信息。

定位以及解决

定位程序

find / -name kswapd0 查找可执行文件的路径

root@VM-4-15-ubuntu:~# find / -name kswapd0
/root/.configrc/a/kswapd0

定位进程

ps -ef |grep kswapd0

root@VM-4-15-ubuntu:~# ps -ef |grep kswapd0
root          81       2  0 Jun08 ?        00:00:02 [kswapd0]
root     2169815 2169728  0 16:14 pts/0    00:00:00 grep --color=auto kswapd0

处理进程

kill -9 81

处理可执行文件

root@VM-4-15-ubuntu:~# ls /root/.configrc/
b  cron.d  dir2.dir
root@VM-4-15-ubuntu:~# ls /root/.configrc/b/
a  dir.dir  run  stop  sync
root@VM-4-15-ubuntu:~# rm -r /root/.configrc/b/

备注

1.tcpkill 命令通过 apt install dsniff获取
2.记得 find / -name tsm命令查找对应非法可执行文件，记得全局删除，以及上级隐身目录