@xz1023 #24 看不到。。 ss -atup state established Netid Recv-Q Send-Q Local Address:Port Peer Address:Port Process tcp 0 0 10.0.0.221:34352 nezha:5555 users:(("nezha-agent",pid=390,fd=3)) tcp 0 0 10.0.0.221:60414 186.2.171.48:2070 tcp 0 0 10.0.0.221:ssh myip:18111 users:(("sshd",pid=1017,fd=4)
@colin-kj1 #28 这个啊,我稍微有点经验,可以弄个Python脚本之类的,里面命令就是找到木马进程然后杀那个木马进程的,然后自动循环执行,基本上可以让CPU占用恢复正常,不至于卡得什么做不了,CPU正常了,就可以备份文件转移到新服务器上,然后把这个中招的服务器删了,我是实在懒得慢慢查去清除那个木马了所以这么做的
会不会是邻居被入侵,挖矿啦
@xz1023 #21 明显找到了未知俄罗斯IP的连接啊
先pause容器看看?单看目前信息感觉也没法确定一定是入侵吧
@colin-kj1 #22 root权限也看不到进程名?
@xz1023 #24 看不到。。
@colin-kj1 #25 甲骨文默认用户名不是root,有在这条命令以前加"sudo",或者事先切换到root用户么?
装个htop,看看资源占用高的陌生程序,PS AUX,LSOF -P,LSOF -I之类的就能找到那些文件,然后对应处理应该就可以了
@Yekker2016 #27 找到了木马进程但是删不掉,估计只能重装
@colin-kj1 #28
这个啊,我稍微有点经验,可以弄个Python脚本之类的,里面命令就是找到木马进程然后杀那个木马进程的,然后自动循环执行,基本上可以让CPU占用恢复正常,不至于卡得什么做不了,CPU正常了,就可以备份文件转移到新服务器上,然后把这个中招的服务器删了,我是实在懒得慢慢查去清除那个木马了所以这么做的
@Yekker2016 #29 谢谢大佬,我也没啥重要文件,直接重装应该可以了。就很奇怪到底是怎么中招的