博主在因为获取知识的需求,开通腾讯云-轻量云服务器,在日常使用中没有什么问题,但是最近一直频繁收到邮件提醒,之前也没有想着去解决这个问题,今天又收到,就来解决了一下相关问题。
:::info
尊敬的腾讯云用户,您好!
您的账号(账号ID: xxxxxxxxxx,昵称:xxxxxx)下的设备(IP:xx.xxx.xxx.xx)因存在对外攻击行为,已阻断该服务器对其他服务器端口(TCP:22)的访问,阻断预计将在24小时后结束,请及时进行自查整改。
:::
进程定位
对外端口访问-22. netstat -anp |grep :22查看关于 22端口的tcp链接有哪些。
tcp 0 1 10.0.4.15:37772 38.63.157.47:22 SYN_SENT 2151965/tsm
tcp 0 0 10.0.4.15:37574 178.251.26.55:2200 TIME_WAIT -
tcp 0 0 10.0.4.15:44608 37.221.194.196:222 TIME_WAIT -
tcp 0 0 10.0.4.15:58980 217.76.200.142:2288 TIME_WAIT -
tcp 0 0 10.0.4.15:35954 110.7.52.149:22333 TIME_WAIT -
tcp 0 0 10.0.4.15:40528 218.161.70.6:22223 TIME_WAIT -
tcp 0 0 10.0.4.15:53196 87.138.223.252:222 TIME_WAIT -
tcp 0 0 10.0.4.15:39966 167.235.1.139:222 TIME_WAIT -
tcp 0 0 10.0.4.15:58180 193.42.96.145:22222 TIME_WAIT -
tcp 0 0 10.0.4.15:53652 38.97.155.72:2222 TIME_WAIT -
tcp 0 0 10.0.4.15:51772 213.108.9.196:2222 TIME_WAIT -
tcp 0 0 10.0.4.15:50560 81.149.26.65:2222 TIME_WAIT -
进程处理
从上边的链接可以看到 关于 22 端口的访问的是 2151965/tsm进程在启用。ps -ef |grep tsm查看 tsm进程的相关信息。
root@VM-4-15-ubuntu:~# ps -ef |grep 2151965
root 2151965 2151961 26 14:41 ? 00:05:05 /dev/shm/.X1z/.rsync/c/lib/64/tsm --library-path /dev/shm/.X1z/.rsync/c/lib/64/ /usr/sbin/httpd sync/c/tsm64 -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
root 2155950 2152928 0 15:01 pts/1 00:00:00 grep --color=auto 2151965
然后 杀掉进程 kill -9 2151865
可执行文件处理
根据上述的进程信息,能拿到 tsm可执行的文件的路径,利用 rm -f /dev/shm/.X1z/.rsync/c/lib/64/tsm删除对应的进程文件。以及删除对应文件夹rm -r /dev/shm/.X1z
链接处理
随后处理已经挂起的链接。tcpkill -i eth0 -9 port 22
root@VM-4-15-ubuntu:~# tcpkill -h
Version: 2.4
Usage: tcpkill [-i interface] [-1..9] expression
执行完成之后,再利用 netstat -anp |grep :22 |wc -l查看现有的链接信息。
定时任务处理
上述工作完成之后,在检查是否相关的定时任务。crontab -l查看定时任务列表
1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /dev/shm/.X1z/.rsync/c/aptitude>/dev/null 2>&1
根据关键字信息,删除对应的定时任务 crontab -r
木马文件通知
尊敬的腾讯云用户,您好!
您的腾讯云账号() 下的服务器: [ubuntu20.04],实例ID:lhins-8skia7gr,地域:港澳台地区 (中国香港),时间:2022-03-06 05:00:17,检测到存在未处理的木马文件:/tmp/.X25-unix/.rsync/a/kswapd0,您的服务器疑似被黑客入侵,可能造成严重损失,请即刻前往主机安全控制台查看详细信息。
定位程序
find / -name kswapd0 查找可执行文件的路径
root@VM-4-15-ubuntu:~# find / -name kswapd0
/root/.configrc/a/kswapd0
定位进程
ps -ef |grep kswapd0
root@VM-4-15-ubuntu:~# ps -ef |grep kswapd0
root 81 2 0 Jun08 ? 00:00:02 [kswapd0]
root 2169815 2169728 0 16:14 pts/0 00:00:00 grep --color=auto kswapd0
处理进程
kill -9 81
处理可执行文件
root@VM-4-15-ubuntu:~# ls /root/.configrc/
b cron.d dir2.dir
root@VM-4-15-ubuntu:~# ls /root/.configrc/b/
a dir.dir run stop sync
root@VM-4-15-ubuntu:~# rm -r /root/.configrc/b/
1.tcpkill 命令通过 apt install dsniff获取
2.记得 find / -name tsm命令查找对应非法可执行文件,记得全局删除,以及上级隐身目录