被入侵的经历

发现过程

2023 年 9 月 20 日，

在续费腾讯云轻量服务器的时候，

发现 cpu 占用率达到了 100%。

探查到的情况

文章是第二天开始写的，没有特别完整的记录。

当时在 top 中查看 cpu 占用， ni 一项会一直保持在一个非常高的状态。

# 样例，并非实际情况
%Cpu(s):  0.8 us,  0.6 sy,  0.0 ni, 98.5 id

ni 是代表着 nice 进程的使用量， nice 进程也就是低优先级进程， 进程优先级是一个好久都没有用到的概念了， 寻常写的东西都处于一个高优先级上， 甚至为了保证服务的运作，一个服务使用一台机器。

后续无论我使用 top 还是 htop， 都没有找到明显是挖矿或是其他恶意程序的进程。

这种 nice 进程，因为会避开我程序的执行时间， 把多余的 cpu 时间给人家用用也倒问题不大。

虽然没有什么需要保护的数据，全都是些个人项目。

但是明知道有人入侵了，还不做好防护，心里还是挺别扭的。

可能被入侵的原因

1. 开启 ssh 密码 访问

2. docker 远程端口暴漏在公网

早些时候的警告

其实在 9 月 5 日 的时候，腾讯云通知了一则恶意文件报告。

产生了一个可执行文件 /var/spool/.system/.system

起初并没有在意，感觉是什么 apt 安装的没有弄好导致的。

现在感觉应该有些关联。