设为首页收藏本站
开启辅助访问

腾讯云

 您所在的位置:网站首页 被安全服务器封禁 腾讯云

腾讯云

2024-02-19 03:39| 来源: 网络整理| 查看: 265

前情

博主在因为获取知识的需求,开通腾讯云-轻量云服务器,在日常使用中没有什么问题,但是最近一直频繁收到邮件提醒,之前也没有想着去解决这个问题,今天又收到,就来解决了一下相关问题。

(TCP22)对外攻击行为导致的封禁

:::info

【腾讯云】服务违规封禁提醒

尊敬的腾讯云用户,您好! 您的账号(账号ID: xxxxxxxxxx,昵称:xxxxxx)下的设备(IP:xx.xxx.xxx.xx)因存在对外攻击行为,已阻断该服务器对其他服务器端口(TCP:22)的访问,阻断预计将在24小时后结束,请及时进行自查整改。 :::

定位以及解决方案

进程定位

对外端口访问-22. netstat -anp |grep :22查看关于 22端口的tcp链接有哪些。

tcp 0 1 10.0.4.15:37772 38.63.157.47:22 SYN_SENT 2151965/tsm tcp 0 0 10.0.4.15:37574 178.251.26.55:2200 TIME_WAIT - tcp 0 0 10.0.4.15:44608 37.221.194.196:222 TIME_WAIT - tcp 0 0 10.0.4.15:58980 217.76.200.142:2288 TIME_WAIT - tcp 0 0 10.0.4.15:35954 110.7.52.149:22333 TIME_WAIT - tcp 0 0 10.0.4.15:40528 218.161.70.6:22223 TIME_WAIT - tcp 0 0 10.0.4.15:53196 87.138.223.252:222 TIME_WAIT - tcp 0 0 10.0.4.15:39966 167.235.1.139:222 TIME_WAIT - tcp 0 0 10.0.4.15:58180 193.42.96.145:22222 TIME_WAIT - tcp 0 0 10.0.4.15:53652 38.97.155.72:2222 TIME_WAIT - tcp 0 0 10.0.4.15:51772 213.108.9.196:2222 TIME_WAIT - tcp 0 0 10.0.4.15:50560 81.149.26.65:2222 TIME_WAIT -

进程处理

从上边的链接可以看到 关于 22 端口的访问的是 2151965/tsm进程在启用。 ps -ef |grep tsm查看 tsm进程的相关信息。

root@VM-4-15-ubuntu:~# ps -ef |grep 2151965 root 2151965 2151961 26 14:41 ? 00:05:05 /dev/shm/.X1z/.rsync/c/lib/64/tsm --library-path /dev/shm/.X1z/.rsync/c/lib/64/ /usr/sbin/httpd sync/c/tsm64 -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip root 2155950 2152928 0 15:01 pts/1 00:00:00 grep --color=auto 2151965

然后 杀掉进程 kill -9 2151865

可执行文件处理

根据上述的进程信息,能拿到 tsm可执行的文件的路径,利用 rm -f /dev/shm/.X1z/.rsync/c/lib/64/tsm删除对应的进程文件。以及删除对应文件夹 rm -r /dev/shm/.X1z

链接处理

随后处理已经挂起的链接。tcpkill -i eth0 -9 port 22

root@VM-4-15-ubuntu:~# tcpkill -h Version: 2.4 Usage: tcpkill [-i interface] [-1..9] expression

执行完成之后,再利用 netstat -anp |grep :22 |wc -l查看现有的链接信息。

定时任务处理

上述工作完成之后,在检查是否相关的定时任务。 crontab -l查看定时任务列表

1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1 @reboot /root/.configrc/a/upd>/dev/null 2>&1 5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1 @reboot /root/.configrc/b/sync>/dev/null 2>&1 0 0 */3 * * /dev/shm/.X1z/.rsync/c/aptitude>/dev/null 2>&1

根据关键字信息,删除对应的定时任务 crontab -r

kswapd0木马文件通知 尊敬的腾讯云用户,您好! 您的腾讯云账号() 下的服务器: [ubuntu20.04],实例ID:lhins-8skia7gr,地域:港澳台地区 (中国香港),时间:2022-03-06 05:00:17,检测到存在未处理的木马文件:/tmp/.X25-unix/.rsync/a/kswapd0,您的服务器疑似被黑客入侵,可能造成严重损失,请即刻前往主机安全控制台查看详细信息。定位以及解决

定位程序

find / -name kswapd0 查找可执行文件的路径

root@VM-4-15-ubuntu:~# find / -name kswapd0 /root/.configrc/a/kswapd0

定位进程

ps -ef |grep kswapd0

root@VM-4-15-ubuntu:~# ps -ef |grep kswapd0 root 81 2 0 Jun08 ? 00:00:02 [kswapd0] root 2169815 2169728 0 16:14 pts/0 00:00:00 grep --color=auto kswapd0

处理进程

kill -9 81

处理可执行文件

root@VM-4-15-ubuntu:~# ls /root/.configrc/ b cron.d dir2.dir root@VM-4-15-ubuntu:~# ls /root/.configrc/b/ a dir.dir run stop sync root@VM-4-15-ubuntu:~# rm -r /root/.configrc/b/备注

1.tcpkill 命令通过 apt install dsniff获取 2.记得 find / -name tsm命令查找对应非法可执行文件,记得全局删除,以及上级隐身目录



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3