本人自己的阿里云服务器,纯个人使用,除了提供小爱音箱开关家中esp8266灯带使用,没什么特别的重要服务。
直到有一天,小爱平台的哥们告诉我,我的应用响应超时,才开始关注我的服务器问题(前期收到过超时短信、和阿里云的风险短信,没太关注)
现象:
登录后 很卡
查看负载6个以上
top cpu 90%
看不到使用cpu较高的进程
接着排查应用 查看响应时间确实 较以前较高 增加了3秒
先恢复应用,提供默认响应先规避小爱告警
而后慢慢排查负载高的问题
解决:
查看阿里云告警
查看 了下ip 62.210.119.142 为法国巴黎 访问了自动跳转域名
这就是为什么,最开始查看cpu利用率很高,但是看不到CPU占用的进程
被入侵无疑
查看用户
这里发现,最后的nginx用户是我自己创建的,但是不仔细看以为没有问题,在我的mqtt用户中间增加了个systemd的用户,id 1000 。。。。。为对方新建的后门用户
查看了下到时没有sudo提权操作
没有
先快速解决
修改密码
删除 会话
ssh -t tty1
kill -9
删除 .ssh/authorized_keys 免密登陆
删除无关计划任务
删除用户
重启 问题解决
总结
该修的漏洞要抓紧修
转载:https://blog.csdn.net/haogeoyes/article/details/106048224
查看评论