您的服务器疑似被黑客入侵，可能造成严重损失，请即刻前往主机安全控制台查看详细信息

今天一客户联系我们 360网站安全加固，告知，自己的腾讯云服务器收到安全提醒通知邮件

您的腾讯云账号（账号 ID：*******，昵称：****） 下的服务器：10.0.4.* []，实例ID：lhins-j8g**rllz，地域：港澳台地区 (中国香港)，时间：2021-05-30 11:52:48，检测到存在未处理的木马文件：/tmp/phpCETGOP，您的服务器疑似被黑客入侵，可能造成严重损失，请即刻前往主机安全控制台查看详细信息，请即刻前往云镜控制台查看详细信息"，然后根据告知的提示信息去登录服务器看到确实有一些可疑的文件出现。

然后360网站安全加固 技术员 随便抽样几个文件看看里面是什么代码。

这些文件肯定不是系统生成的，而是被提交注入进来的。可以预见到确实有安全问题。根据客户反馈，他的服务器里面有非常多的网站，比如 dedecms，phpcms，discuz，Wordpress是很早的版本，我们建议他升级最新版本，然后主题他使用的付费主题，我们也建议去主题看看是否有最新版本升级。

下面是我们360网站安全加固 技术的排查流程 （先排查服务器被黑 症状，再排查网站）

1、我连上服务器之后先执行了 w 命令看了下，除了我之外没有别IP在连服务器，执行 history 命令 没有查到 异常的记录, 在 .bash_history 也没有查到 。

2、然后查了下 /var/log/secure 日志，发现密码确实被攻破了(我把日志中的IP最后一段换成了x)：

Apr 6 00:19:48 VM_0_5_centos sshd[22197]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.219.255.x user=root

Apr 6 00:19:50 VM_0_5_centos sshd[22197]: Failed password for root from 61.219.255.x port 53319 ssh2

Apr 6 00:19:51 VM_0_5_centos sshd[22197]: Connection closed by 61.219.255.x port 53319 [preauth]

Apr 6 00:19:54 VM_0_5_centos sshd[22210]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.219.255.x user=root

Apr 6 00:19:56 VM_0_5_centos sshd[22210]: Failed password for root from 61.219.255.x port 48948 ssh2

Apr 6 00:19:56 VM_0_5_centos sshd[22210]: Connection closed by 61.219.255.x port 48948 [preauth]

Apr 6 00:19:57 VM_0_5_centos sshd[22220]: Accepted password for root from 61.219.255.x port 14542 ssh2

可以看到 最下面那一条： Accepted password for root from 61.219.255.x 说明他破解了我的密码

接下来我发现了一个可怕的事情，这个黑客简直是高手。

他不但破解了我的密码，还在root 用户下.ssh/authorized_keys 添加了他的公钥，而且还新建了一个普通用户，同样也加了公钥 。我尝试清除掉他的公钥，提示我无法保存。我可是root 用户啊，作为一个运维人员，很快会意识到文件被加锁了。

[root@VM_0_5_centos ~]# lsattr .ssh/authorized_keys
-----i------- .ssh/authorized_keys

#果然被加锁了 ，需要先解锁再修改

[root@VM_0_5_centos ~]# chattr -i .ssh/authorized_keys

#然后用同样的方法解锁黑客新建用户的认证文件，然后删掉他新建的用户

3、我马上修改sshd的配置文件，包括 拒绝密码认证和拒绝root直接ssh, 创建一个新用户并添加我的公钥

vi /etc/ssh/sshd_config

#禁止密码认证
PasswordAuthentication no

#禁止root用户直接ssh到服务器
PermitRootLogin no

#公钥的位置
AuthorizedKeysFile .ssh/authorized_keys

#然后重启sshd 服务

#再创建一个用户dfzz, 并授权sudo all，也可以只授权某个命令，看自己需要喽

visudo
dfzz ALL=(ALL) NOPASSWD: ALL

4、 用户检查完了，sshd也重启了，我开始检查有没有恶意进程

果然还是没放过我啊，这个wordpress 进程并不是我之前自己测试的wordpress，我之前是 lnmp+ wordpress ，并没有叫wordpress的进程。

我kill 掉 这个进程，并删除了这个文件

然后用 netstat -lntup 查了一下 有没有异常的服务 端口

#查看进程对应的目录
ls -l /proc/13747

#目录下有一个exe 对应的文件就是程序执行文件，删掉它，然后 kill掉进程

5、检查一下 /etc/hosts 因为黑客经常 入侵服务器 经常会修改 hosts 文件

呵呵，还真是。 我修改的时候同样提示权限不足，还是先解锁再修改。

6、 我又检查了一下定时任务，因为黑客经常会修改定时任务，你删掉他们的程序定时又会启动，可结果却是定时任务正常，没有被修改, 我有点诧异，难道这就结束了？

好，那我重启一下系统看看！

果然，没我想的这么简单！

重启后发现 /etc/hosts 又被加了一大推， root 用户的authorized_keys 又被加了黑客的公钥，而且我新建的那个dfzz 用户 也被加了他的公钥，我直接把他去掉

接下来查一下开机启动文件：

chkconfig --list
#有一个可以的开机启动进程，但还并不能确定就是这个，好像叫 jexce 。

我先取消掉这个进程的开机启动，直接 off掉

最后服务器被黑挂马症状解除，然后就是客户网站的恢复修复工作

如果您不懂网站安全技术，又想彻底解决。您可以联系我们 360°网站安全加固 ，我们人工为您排忧解难，下面有联系方式~