腾讯云-服务违规封禁提醒解决
前情
博主在因为获取知识的需求,开通腾讯云-轻量云服务器,在日常使用中没有什么问题,但是最近一直频繁收到邮件提醒,之前也没有想着去解决这个问题,今天又收到,就来解决了一下相关问题。
(TCP22)对外攻击行为导致的封禁
:::info
【腾讯云】服务违规封禁提醒
尊敬的腾讯云用户,您好!
您的账号(账号ID: xxxxxxxxxx,昵称:xxxxxx)下的设备(IP:xx.xxx.xxx.xx)因存在对外攻击行为,已阻断该服务器对其他服务器端口(TCP:22)的访问,阻断预计将在24小时后结束,请及时进行自查整改。
:::
定位以及解决方案
进程定位
对外端口访问-22. netstat -anp |grep :22
查看关于 22
端口的tcp链接有哪些。
tcp 0 1 10.0.4.15:37772 38.63.157.47:22 SYN_SENT 2151965/tsm
tcp 0 0 10.0.4.15:37574 178.251.26.55:2200 TIME_WAIT -
tcp 0 0 10.0.4.15:44608 37.221.194.196:222 TIME_WAIT -
tcp 0 0 10.0.4.15:58980 217.76.200.142:2288 TIME_WAIT -
tcp 0 0 10.0.4.15:35954 110.7.52.149:22333 TIME_WAIT -
tcp 0 0 10.0.4.15:40528 218.161.70.6:22223 TIME_WAIT -
tcp 0 0 10.0.4.15:53196 87.138.223.252:222 TIME_WAIT -
tcp 0 0 10.0.4.15:39966 167.235.1.139:222 TIME_WAIT -
tcp 0 0 10.0.4.15:58180 193.42.96.145:22222 TIME_WAIT -
tcp 0 0 10.0.4.15:53652 38.97.155.72:2222 TIME_WAIT -
tcp 0 0 10.0.4.15:51772 213.108.9.196:2222 TIME_WAIT -
tcp 0 0 10.0.4.15:50560 81.149.26.65:2222 TIME_WAIT -
进程处理
从上边的链接可以看到 关于 22 端口的访问的是 2151965/tsm
进程在启用。
ps -ef |grep tsm
查看 tsm
进程的相关信息。
root@VM-4-15-ubuntu:~# ps -ef |grep 2151965
root 2151965 2151961 26 14:41 ? 00:05:05 /dev/shm/.X1z/.rsync/c/lib/64/tsm --library-path /dev/shm/.X1z/.rsync/c/lib/64/ /usr/sbin/httpd sync/c/tsm64 -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
root 2155950 2152928 0 15:01 pts/1 00:00:00 grep --color=auto 2151965
然后 杀掉进程 kill -9 2151865
可执行文件处理
根据上述的进程信息,能拿到 tsm
可执行的文件的路径,利用 rm -f /dev/shm/.X1z/.rsync/c/lib/64/tsm
删除对应的进程文件。以及删除对应文件夹
rm -r /dev/shm/.X1z
链接处理
随后处理已经挂起的链接。tcpkill -i eth0 -9 port 22
root@VM-4-15-ubuntu:~# tcpkill -h
Version: 2.4
Usage: tcpkill [-i interface] [-1..9] expression
执行完成之后,再利用 netstat -anp |grep :22 |wc -l
查看现有的链接信息。
定时任务处理
上述工作完成之后,在检查是否相关的定时任务。
crontab -l
查看定时任务列表
1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /dev/shm/.X1z/.rsync/c/aptitude>/dev/null 2>&1
根据关键字信息,删除对应的定时任务 crontab -r
kswapd0
木马文件通知
尊敬的腾讯云用户,您好!
您的腾讯云账号() 下的服务器: [ubuntu20.04],实例ID:lhins-8skia7gr,地域:港澳台地区 (中国香港),时间:2022-03-06 05:00:17,检测到存在未处理的木马文件:/tmp/.X25-unix/.rsync/a/kswapd0,您的服务器疑似被黑客入侵,可能造成严重损失,请即刻前往主机安全控制台查看详细信息。
定位以及解决
定位程序
find / -name kswapd0
查找可执行文件的路径
root@VM-4-15-ubuntu:~# find / -name kswapd0
/root/.configrc/a/kswapd0
定位进程
ps -ef |grep kswapd0
root@VM-4-15-ubuntu:~# ps -ef |grep kswapd0
root 81 2 0 Jun08 ? 00:00:02 [kswapd0]
root 2169815 2169728 0 16:14 pts/0 00:00:00 grep --color=auto kswapd0
处理进程
kill -9 81
处理可执行文件
root@VM-4-15-ubuntu:~# ls /root/.configrc/
b cron.d dir2.dir
root@VM-4-15-ubuntu:~# ls /root/.configrc/b/
a dir.dir run stop sync
root@VM-4-15-ubuntu:~# rm -r /root/.configrc/b/
备注
1.tcpkill
命令通过 apt install dsniff
获取
2.记得 find / -name tsm
命令查找对应非法可执行文件,记得全局删除,以及上级隐身目录
腾讯云-服务违规封禁提醒解决相关推荐
- 腾讯云服务器违规封禁数据恢复和迁移教程,腾讯云账号违规被封如何解封迁移数据
题主最近在腾讯云的服务器被封了,服务器无违规,全因替被人买了几个域名违规,导致账号被封禁,连累账号内的DNS.OSS对象储存.CVM云服务器全部被封! 接到通知的那一刻起,账号内资源全部无法进行任何操 ...
- 郭台铭“炮轰”微软;腾讯应用宝全面封禁多闪;波音更新飞行软件 | 极客头条...
如何挑战百万年薪的人工智能! https://edu.csdn.net/topic/ai30?utm_source=csdn_bw 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特 ...
- 实现全托管,腾讯云服务网格的架构演进
导语 | 腾讯云服务网格(TCM)作为一个兼容 isito 的服务网格平台,已经在腾讯内外部有诸多落地案例.本文是对腾讯云高级工程师钟华.苗艳强在云+社区沙龙online的分享整理,深度解析服务网格架 ...
- Python3利用Twilio(国际)以及腾讯云服务(国内)免费发送手机短信
短信服务验证服务已经不是什么新鲜事了,但是免费的手机短信服务却不多见,本次利用Python3.0基于Twilio和腾讯云服务分别来体验一下国际短信和国内短信接口. 首先,注册Twilio: https ...
- 腾讯云服务器重启过慢的解决办法
文章目录 解决办法 参考链接 解决办法 进入管理员权限后(Linux进入管理员权限的办法),依次运行下面三行代码 /usr/local/qcloud/stargate/admin/uninstall. ...
- 腾讯云备案授权码常见问题及解决方法
在腾讯云备案需要备案授权码,备案君分享腾讯云备案授权码常见问题及解决方法: 什么是备案授权码? 腾讯云的备案授权码类似于阿里云的备案服务号,备案授权码是由服务器生成的用于备案的授权凭证,实际指向该服务 ...
- 腾讯云服务器自动断开连接的解决办法
腾讯云服务器自动断开连接的解决办法 1.找到sshd_config配置文件 打开并进行编辑,输入命令: vim /etc/ssh/sshd_config 在此文件中找到以下配置项: # ClientA ...
- 抖音起诉腾讯垄断 要求停止封禁并索赔9000万元
2月2日消息,抖音方面表示,今日已经正式向北京知识产权法院提交诉状,起诉腾讯垄断.抖音方面称,腾讯通过微信和QQ限制用户分享来自抖音的内容,构成了<反垄断法>所禁止的"滥用市场支 ...
- 关于使用腾讯云HiFlow场景连接器每天提醒签到打卡
目录 前言: HiFlow: 配置:编辑 设置执行条件 编辑 设置群发机器人: 缺点与不足: 总结: 前言: 在我们日常生活中总会有一些签到比如:我们的掘金签到,王者荣耀签到,和企业单位群中的打卡 ...
最新文章
- hihocoder #1136 : Professor Q's Software
- 网络摄像头2 mjpg_streamer流程,编译
- CSS3/ 弹性布局flex
- SQL Server Always On可用性组中的Windows故障转移群集仲裁模式
- 20190313_C#反转绘制字符串
- Codeforces Round #419 Div. 1
- (一)【模电】(第一章 常用半导体器件)半导体基础知识
- window系统修复
- 【软件工程大作业】软件项目管理之成本管理
- ESD问题案例分析-智能手表为例
- HDU 4622	Reincarnation (后缀数组|后缀自动机)
- IEEE latex 编写lemma
- Windows 11 22H2 中文版、英文版 (x64、ARM64) 下载 (updated Jan 2023)
- 低压无功补偿电容柜浅谈
- oracle启用amm,Oracle11g自动内存管理(AMM)相关的初始化参数
- 笔试——大华FPGA
- 华为AR路由器QOS限速命令
- 五年后计算机专业还会吃香吗,未来5年的紧缺职业 五年后最吃香的专业有哪些?...
- 原创:Spark中GraphX图运算pregel详解
- 乘用车排气系统流场的数值模拟
热门文章
- 设计登陆窗口界面,当输入账号密码正确时,界面如图一所示,当输入账号密码有误时,界面如图二所示。 import java.awt.*; import java.awt.event.*; import
- 敏捷开发思想的终极应用:软件快速开发平台
- 金针探底技术分析(上)
- 收藏网页版小游戏:蜘蛛纸牌、扫雷、水果忍者、打地鼠、吃豆人
- python 画风场_python 画风矢量图
- 案例:发送短信倒计时 js 手机60秒验证码
- FFMpeg 实现从视频中提取音轨
- ClickHouse 备份与恢复
- U-boot-1.1.6-2008R1到vdsp5(bf561)的移植记录(16):*cplb_add
- Swift Intermediate Language