背景
发现云服务器满负载,shell连不上去,监控显示带宽被吃满
经历(截图在底部):
1、kswapd0进程导致cpu接近满负载,尝试kill后没用,问题不在这里。
2、发现同一用户时不时冒出tsm进程。
3、ps -ef 发现了 /X25_unix/.rsync/c/tsm64 这个进程,kill后总是自动复活
4、尝试直接删除had用户,发现没有用
5、服务器报无法创建新的socket,所以netstat -ano 检查端口,发现建立大量连接
6、一时没办法,只想到直接删除目标程序所在的目录,rm -rf /tmp/*,发现有效果
7、删除had用户,服务器恢复正常
总结
1、被人用弱口令拿下了had用户权限,这个人使用我的had用户,去扫描爆破外网的机器
2、因为曾经在github上泄露ip地址,had用户密码也是had,所以被弱口令不奇怪
3、有惊无险,以上
原创文章 95
获赞 219
访问量 29万+