腾讯云服务器被窃取，用来攻击其他服务器，已解决

Posted 2022-01-14 Mr.zhou_Zxy

早上五点多突然醒来，看来一下手机，收到通知说我攻击其他服务器，What happened?

问题1：

尊敬的腾讯云用户，您好！

您的账号（账号ID: -------，昵称：zxy）下的设备（IP：****.****.****.****），存在对其他服务器端口（TCP：22）的攻击行为，请您做好自查整改，并在24小时内停止上述行为。如逾期未处理，我们核实后将按腾讯云服务协议相关要求对您停止服务。

感谢您对腾讯云的理解与支持！



温馨提示：

1. 点击查看 安全违规处理帮助指引

2. 若在使用过程中遇到任何问题，您可以 提交工单 进行反馈，我们将竭诚为您服务！


此致 
腾讯云团队

检测1：

腾讯云官方建议：

使用last命令查看下服务器近期登录的帐户记录，确认是否有可疑 IP 登录过机器：

检查说明：攻击者或者恶意软件往往会往系统中注入隐藏的系统帐户实施提权或其他破坏性的攻击。
解决方法：检查发现有可疑用户时，可使用命令usermod -L 用户名禁用用户或者使用命令userdel -r 用户名删除用户。
风险性：高。

解决：

​ 想要删除新增用户es，结果就是报es 被进程27109占用了，手动给进程kill掉，然后给用户删除userdel -r es

检测2：

腾讯云官方建议：

通过less /var/log/secure|grep 'Accepted’命令，查看是否有可疑 IP 成功登录机器：

检查说明：攻击者或者恶意软件往往会往系统中注入隐藏的系统帐户实施提权或其他破坏性的攻击。
解决方法： 使用命令usermod -L 用户名禁用用户或者使用命令userdel -r 用户名删除用户。
风险性：高。

解决：

[root@hadoop_zxy ~]# less /var/log/secure|grep 'Accepted'

Dec 24 07:40:01 hadoop_zxy sshd[26686]: Accepted password for es from ****** port **** ssh2
Dec 24 07:40:03 hadoop_zxy sshd[26767]: Accepted password for es from ****** port **** ssh2
Dec 24 07:41:07 hadoop_zxy sshd[27014]: Accepted password for es from ****** port **** ssh2
Dec 24 08:49:04 hadoop_zxy sshd[7640]: Accepted password for root from ****** port **** ssh2
Dec 24 08:49:04 hadoop_zxy sshd[7642]: Accepted password for root from ****** port **** ssh2
Dec 24 08:59:29 hadoop_zxy sshd[13426]: Accepted password for root from ****** port **** ssh2
Dec 24 08:59:29 hadoop_zxy sshd[13428]: Accepted password for root from ****** port **** ssh2