今天在装东西时候突然发现的,1panel概览页面的cpu一直在50%,看了一下其中两个核心一直在跑满的状态
试过top下也没发现有什么异常的软件
包括定时任务里也是正常的,docker也没有看到高负荷的容器
网上查了一下这个用这个命令: sysdig -c topprocs_cpu
其中有一个.system的进程一直居高不下,但是在ps中没发现这个进程
查看了/var/logs/*.log中发现有不明ip一直在跑字典爆破
从启动进程的目录下手,在etc/systemd/system目录下,查询所有文件保函刚才占用最高的进程名称
cat */*|grep '\.system' -C 10
找到他了,在这里
换种查询的方式,用tail可以直接看到是那个启动服务文件
tail */*|grep '\.system' -C 10
就是这个文件==> multi-user.target.wants/cdngdn.service <==
用 systemctl stop cdngdn.service 命令停掉它,如果还会再次启动,那么证明有定时任务存在。
居然装的那么像!!!我差点以为是系统程序,赶紧删掉
观察了一会儿,已经没有自己启动了,这么快就歇菜了
该删的删,停掉自启动,删掉服务程序
还没完!!!
还有另外一个程序在跑我的登录接口
从1panel的日志可以看出,从安装1panel第一天起就开始有在爆破,当时还没有使用frp,仅仅是内网在使用!!
截止2024.03.22 17:41
从/var/log/syslog文件中有意外发现
这个ip我开始以为是我手机的myServers软件在登录,因为我手机挂着美丽国的梯子,但是我关掉后,他还在继续。
随后fofa搜了一下发现并不是我梯子所在的区域
ipinfo
{
"input": "129.146.131.175",
"data": {
"ip": "129.146.131.175",
"city": "Phoenix",
"region": "Arizona",
"country": "US",
"loc": "33.4665,-111.9984",
"org": "AS31898 Oracle Corporation",
"postal": "85008",
"timezone": "America/Phoenix",
"asn": {
"asn": "AS31898",
"name": "Oracle Corporation",
"domain": "oracle.com",
"route": "129.146.128.0/20",
"type": "business"
},
"company": {
"name": "Oracle Corporation",
"domain": "oracle.com",
"type": "business"
},
"privacy": {
"vpn": false,
"proxy": false,
"tor": false,
"relay": false,
"hosting": false,
"service": ""
},
"abuse": {
"address": "US, CA, Redwood Shores, 500 Oracle Parkway, Attn: Domain Administrator, 94065",
"country": "US",
"email": "[email protected]",
"name": "Network Information Systems Abuse Management",
"network": "129.144.0.0/12",
"phone": "+1-650-506-2220"
}
}
}
最可疑的一个文件,在/var/log/目录下名为btmp,我把它打印出来,看见全都是爆破的日志,
找到根源所在了,是云服务器上被人拿来当肉鸡了,他不仅爆破我的服务器,还正在爆破别人的服务器
待更新…
,禁root + 强口令或者密钥文件登录就好了
