首次碰到病毒入侵事件

系统: Ubuntu 24

环境: 本地

背景: 本地部署了服务, 想要做远程访问, 然后用frpc做了内网穿透, 之后想要部署一个8b的模型, 结果run之后直接系统超负荷, 把ssh踢下来了。

排查结果:

1. 系统启动运行之后发现16个核直接跑满8个核,感谢手下留情, 没有全部跑满...

2. top、ps、htop均未能查询出来占U过高的进程

3. crontab发现多了一个不知名的月度任务,@monthly /root/.cfg/dealer & disown > /dev/null 2>&1

4. 接入界面后发现, 里面新增了一个用户, 用户名为daxi

5. chkrootkit 检测rootkit, 发现You have    22 process hidden for readdir command, You have    22 process hidden for ps command

基本结论:

1. 基本上等于反向穿透时因为密码太弱, 且没有多级防护,导致被黑了

2. 对方修改了ls、dir、ps、top之类的命令, 对原本的命令做了过滤机制, 所以导致查询不到相关的进程, 或者文件

处理办法:

系统上我是小白, 重装结束

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值