被入侵的经历
发现过程
2023 年 9 月 20 日,
在续费腾讯云轻量服务器的时候,
发现 cpu 占用率达到了 100%。
探查到的情况
文章是第二天开始写的,没有特别完整的记录。
当时在 top 中查看 cpu 占用, ni 一项会一直保持在一个非常高的状态。
# 样例,并非实际情况
%Cpu(s): 0.8 us, 0.6 sy, 0.0 ni, 98.5 id
ni 是代表着 nice 进程的使用量, nice 进程也就是低优先级进程, 进程优先级是一个好久都没有用到的概念了, 寻常写的东西都处于一个高优先级上, 甚至为了保证服务的运作,一个服务使用一台机器。
后续无论我使用 top 还是 htop, 都没有找到明显是挖矿或是其他恶意程序的进程。
这种 nice 进程,因为会避开我程序的执行时间, 把多余的 cpu 时间给人家用用也倒问题不大。
虽然没有什么需要保护的数据,全都是些个人项目。
但是明知道有人入侵了,还不做好防护,心里还是挺别扭的。
可能被入侵的原因
开启 ssh 密码 访问
docker 远程端口暴漏在公网
早些时候的警告
其实在 9 月 5 日 的时候,腾讯云通知了一则恶意文件报告。
产生了一个可执行文件 /var/spool/.system/.system
起初并没有在意,感觉是什么 apt 安装的没有弄好导致的。
现在感觉应该有些关联。