系统: Ubuntu 24
环境: 本地
背景: 本地部署了服务, 想要做远程访问, 然后用frpc做了内网穿透, 之后想要部署一个8b的模型, 结果run之后直接系统超负荷, 把ssh踢下来了。
排查结果:
1. 系统启动运行之后发现16个核直接跑满8个核,感谢手下留情, 没有全部跑满...
2. top、ps、htop均未能查询出来占U过高的进程
3. crontab发现多了一个不知名的月度任务,@monthly /root/.cfg/dealer & disown > /dev/null 2>&1
4. 接入界面后发现, 里面新增了一个用户, 用户名为daxi
5. chkrootkit 检测rootkit, 发现You have 22 process hidden for readdir command, You have 22 process hidden for ps command
基本结论:
1. 基本上等于反向穿透时因为密码太弱, 且没有多级防护,导致被黑了
2. 对方修改了ls、dir、ps、top之类的命令, 对原本的命令做了过滤机制, 所以导致查询不到相关的进程, 或者文件
处理办法:
系统上我是小白, 重装结束


3252

被折叠的 条评论
为什么被折叠?



