收到报警

2019年4月10号，正当大家热情的讨论人类首次拍摄的关于黑洞的照片的时候，突然收到了来自阿里云的报警，说是我们的一台服务器正在对外攻击！

赶紧登陆云控制台，看看到底是怎么回事。

十有八九是中招了。。。
登陆到服务器上去看看吧。

先top一下

先top一下，看看什么情况吧

看来就是khugepageds这个进程搞得鬼。
来看一下这个进程是个什么东西。

/tmp下的一个文件。
哦了，kill掉这个进程，删掉这个文件，搞定。
再top一下

没有问题，搞定收工！

真的搞定了吗？

事情还是没有想象中这么简单啊。
没一会，这个鬼进程又出现了，真是冤魂不散。。。
这是为什么呢？难道是crontab有定时任务？

没有！
再仔细观察一下这个进程，是confluence这个用户的进程。
好吧，切换到这个用户看一下。

果然有问题！！！
干掉这个定时任务，kill进程，删除文件，这活儿干起来真是顺手！

事情还没有结束？？？

有了第一次的经验，这次不能大意，再观察一会儿。
特么的，又出现了！！！
这是什么鬼？？？
crontab的任务同样也被添加上了。
看来还是没有搞干净。
再top一下看看。

kerberods这个进程引起了注意，这是个什么鬼？而且是属于confluence这个用户的。
不应该啊？
ps一下，又是/tmp下的一个文件。
打开看一下，是一个html文件。
我很想展示给你们看一下，但是，我忘了截图，也忘了保存。。。
接下来又是轻车熟路，删文件，杀进程。
这次观察了好好好好好长时间，鬼进程终于没有再出现。

后续动作

为了保险起见，把服务器网络端口什么的先给关了吧。
iptables,farewall什么的都过时了。在阿里云，你只需要登录控制台，打开安全组，添加/修改规则就可以了！

所有ip的所有端口都关掉，只允许自己的ip访问22.
就是这么简单！