这是一个创建于 1635 天前的主题,其中的信息可能已经有所发展或是发生改变。
公司最近有台 EC2 突然无法 SSH 连接,登录 AWS console 看到 CPU 使用率突然上升到 10%(平常也就 0.3%左右),怀疑是不是被用来挖矿了?虽然重启了就好了,但是怎么反查或者预防这种情况呢?
 | 1 whileFalse 2021-04-30 10:07:49 +08:00 T 系列吧,10%就满了所以连不上了。 看看日志查查木马吧。 |
 | 2 IurNusRay OP @whileFalse 用 last 和 history 命令看了下,没发现异常记录,是不是被删除了?还有啥其他办法查吗 |
 | 3 shmilwdc 2021-04-30 10:37:08 +08:00 我遇到过一次,当你 SSH 连上去后恶意程序立马停了,当你断了过一会后马上 CPU 100%,所以注意排查下不明文件。 |
 | 5 dieser 2021-04-30 10:56:37 +08:00 ssh 禁止密码登录 修改 22 端口 看下各个用户下面的.ssh/authorized_keys 是否有来历不明的公钥、开 IP 白名单 如果安装了 redis 的话,再看看是不是有 redis 的漏洞 看下 crontab 有没有什么任务 top 看下有没有可疑的进程,有的话,通过 systemctl status pid 去找,kill 进程 删除相关文件 |
 | 7 lidong88 2021-04-30 15:01:02 +08:00 via Android 海外的话考虑 ip 被墙 |
 | 8 opengps 2021-04-30 20:04:36 +08:00 AWS 作为云计算老大,应该也有云监控组件,配置一个 cpu 监控项目报警就可以及时收到消息 |
 | 9 hoko1814 2021-06-01 09:21:29 +08:00 遇到过自定义的酸酸乳端口连不上,SSH 的 22 端口倒是可以连,酸酸乳后来换成另一个端口就可以了,想想就恐怖啊,是不是被国内墙识别到了,把我的端口给封了。 |
Select Language