腾讯云-服务违规封禁提醒解决

发布于

前情

博主在因为获取知识的需求,开通腾讯云-轻量云服务器,在日常使用中没有什么问题,但是最近一直频繁收到邮件提醒,之前也没有想着去解决这个问题,今天又收到,就来解决了一下相关问题。

(TCP22)对外攻击行为导致的封禁

:::info

【腾讯云】服务违规封禁提醒

尊敬的腾讯云用户,您好! 您的账号(账号ID: xxxxxxxxxx,昵称:xxxxxx)下的设备(IP:xx.xxx.xxx.xx)因存在对外攻击行为,已阻断该服务器对其他服务器端口(TCP:22)的访问,阻断预计将在24小时后结束,请及时进行自查整改。 :::

定位以及解决方案

进程定位

对外端口访问-22. netstat -anp |grep :22查看关于 22端口的tcp链接有哪些。

代码语言:javascript
复制
tcp        0      1 10.0.4.15:37772         38.63.157.47:22         SYN_SENT    2151965/tsm         
tcp        0      0 10.0.4.15:37574         178.251.26.55:2200      TIME_WAIT   -                   
tcp        0      0 10.0.4.15:44608         37.221.194.196:222      TIME_WAIT   -                   
tcp        0      0 10.0.4.15:58980         217.76.200.142:2288     TIME_WAIT   -                   
tcp        0      0 10.0.4.15:35954         110.7.52.149:22333      TIME_WAIT   -                   
tcp        0      0 10.0.4.15:40528         218.161.70.6:22223      TIME_WAIT   -                   
tcp        0      0 10.0.4.15:53196         87.138.223.252:222      TIME_WAIT   -                   
tcp        0      0 10.0.4.15:39966         167.235.1.139:222       TIME_WAIT   -                   
tcp        0      0 10.0.4.15:58180         193.42.96.145:22222     TIME_WAIT   -                   
tcp        0      0 10.0.4.15:53652         38.97.155.72:2222       TIME_WAIT   -                   
tcp        0      0 10.0.4.15:51772         213.108.9.196:2222      TIME_WAIT   -                   
tcp        0      0 10.0.4.15:50560         81.149.26.65:2222       TIME_WAIT   -

进程处理

从上边的链接可以看到 关于 22 端口的访问的是 2151965/tsm进程在启用。 ps -ef |grep tsm查看 tsm进程的相关信息。

代码语言:javascript
复制
root@VM-4-15-ubuntu:~# ps -ef |grep 2151965
root     2151965 2151961 26 14:41 ?        00:05:05 /dev/shm/.X1z/.rsync/c/lib/64/tsm --library-path /dev/shm/.X1z/.rsync/c/lib/64/ /usr/sbin/httpd sync/c/tsm64 -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
root     2155950 2152928  0 15:01 pts/1    00:00:00 grep --color=auto 2151965

然后 杀掉进程 kill -9 2151865

可执行文件处理

根据上述的进程信息,能拿到 tsm可执行的文件的路径,利用 rm -f /dev/shm/.X1z/.rsync/c/lib/64/tsm删除对应的进程文件。以及删除对应文件夹 rm -r /dev/shm/.X1z

链接处理

随后处理已经挂起的链接。tcpkill -i eth0 -9 port 22

代码语言:javascript
复制
root@VM-4-15-ubuntu:~# tcpkill -h
Version: 2.4
Usage: tcpkill [-i interface] [-1..9] expression

执行完成之后,再利用 netstat -anp |grep :22 |wc -l查看现有的链接信息。

定时任务处理

上述工作完成之后,在检查是否相关的定时任务。 crontab -l查看定时任务列表

代码语言:javascript
复制
1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1  
0 0 */3 * * /dev/shm/.X1z/.rsync/c/aptitude>/dev/null 2>&1

根据关键字信息,删除对应的定时任务 crontab -r

kswapd0

代码语言:javascript
复制
木马文件通知
尊敬的腾讯云用户,您好!
您的腾讯云账号() 下的服务器: [ubuntu20.04],实例ID:lhins-8skia7gr,地域:港澳台地区 (中国香港),时间:2022-03-06 05:00:17,检测到存在未处理的木马文件:/tmp/.X25-unix/.rsync/a/kswapd0,您的服务器疑似被黑客入侵,可能造成严重损失,请即刻前往主机安全控制台查看详细信息。

定位以及解决

定位程序

find / -name kswapd0 查找可执行文件的路径

代码语言:javascript
复制
root@VM-4-15-ubuntu:~# find / -name kswapd0
/root/.configrc/a/kswapd0

定位进程

ps -ef |grep kswapd0

代码语言:javascript
复制
root@VM-4-15-ubuntu:~# ps -ef |grep kswapd0
root          81       2  0 Jun08 ?        00:00:02 [kswapd0]
root     2169815 2169728  0 16:14 pts/0    00:00:00 grep --color=auto kswapd0

处理进程

代码语言:javascript
复制
kill -9 81

处理可执行文件

代码语言:javascript
复制
root@VM-4-15-ubuntu:~# ls /root/.configrc/
b  cron.d  dir2.dir
root@VM-4-15-ubuntu:~# ls /root/.configrc/b/
a  dir.dir  run  stop  sync
root@VM-4-15-ubuntu:~# rm -r /root/.configrc/b/

备注

1.tcpkill 命令通过 apt install dsniff获取 2.记得 find / -name tsm命令查找对应非法可执行文件,记得全局删除,以及上级隐身目录

#grep#腾讯云#bash#bash 指令#linux