网盾服务器一直打着：让技术化繁为简的宗旨运营了十几年，奈何在某个月黑风高的晚上……

前一阵子网盾搞活动，我啥也不说，买了个轻量级的服务器，想要部署一下自己的网站。（尽管网站就那样，但我总感觉我有希望。）

事情进展得十分顺利。

直到某个月黑风高的晚上，我一如既然地打开网站，想看一下网站的流量，发现……打不开？？？

好在我学过网络安全，我开始了一系列的排查……（好难啊，这跟上课讲得完全不一样）

1.排查日志

首先，我需要登录服务器，检查异常登录的日志。

好家伙，我服务器上不去。（这个时候客服可能发现了我的问题，告诉我可以为我提供免费服务，询问我是否需要。我不，我要自己尝试！）

1）VNC登录服务器

VNC (Virtual Network Computing)是虚拟网络计算机的缩写。是一款优秀的远程控制工具软件，由著名的AT&T的欧洲研究实验室开发的。基于UNIX和Linux操作系统的免费的开放源码软件，远程控制能力强大，高效实用，其性能可以和Windows和MAC中的任何远程控制软件媲美。

我第一时间想到的就是我的密码登录被禁用了。

于是我在网盾后台使用VNC登录。

不能用SSH远程登录的时候，可以用VNC登录服务器。

2）检查sshd_config文件

检查/etc/ssh/sshd_config文件，发现真的被修改了。（直接好家伙……）

PasswordAuthentication no /*不允许密码登录*/

既然密码登录被禁止，那就只能尝试用秘钥登录了。

先改成yes，重启sshd。

systemctl restart  sshd

3)终端重新登录

修改完成之后，在本地使用终端工具重新登录，毕竟VNC登录还是较为复杂。

恩，成了。

检查authorized_keys文件

vi /root/.ssh/authorized_keys

不讲武德啊，给我的服务器加了什么鬼东西。

4）检查登录日志

运用last和history命令，检查登录日志和操作日志

last /*查看所有登录过的IP*/
history /*查看操作的命令记录*/

不难发现，没有什么异常IP。这其实不怪，如果真的登录成功，登录日志很有可能是会被删除的。

我们在用lastb命令检查一下：

lastb /*列出登入系统失败的用户相关信息*/

关于lastb结果注释：

第一列：用户名

第二列：终端位置

第三列：登录IP或者内核

第四列：开始时间

第五列：结束时间 （still login in 未退出 down 正常关机 crash 强制关机）

以上结果显示，我的服务器被暴力撞库了。（看来之前的只是没白学）

一看这个IP，应该是通过代理的。第二张图对方甚至直接用root去撞库，应该是找到了用户名，然后登陆修改了我的秘钥。

检查IP：

IP显示为国外的，很难确定具体位置，也有可能是找了代理IP。（或者说vps）

2.排查木马文件

1）top命令

简单的top命令无法具体显示木马进程，似乎一切正常，或者说，我的top命令已经被修改。

2）busybox命令

用这个命令可以查看到隐藏在CPU的进程，原始的top已被修改，无法显示病毒的进程，只能在busybox中运行。

下载网盾给的排查工具busybox：

功夫不负有心人，抓到了木马的小尾巴：

CPU利用率近100% ，挖矿无疑了。

实在没办法，找了网盾的技术。

找到了，pamdicks，杀掉他并删除，应该差不多了。

如果不输入全程，ls、ll、lsattr文件是无法显示木马文件的：

删除前我再看一遍：

ls -lh/proc/5445/fd

top -H -p 5445

这个pamdicks进程有6个子线程：

最后查到是一个二进制文件，知识范围到顶了，打不开，删除算了。

奈何小编网站要抓紧更新了，今天就更新到这里了。

明天将会为大家介绍木马文件的删除、找源头以及如何预防。

记得等我！