腾讯云服务器被黑

开始

登录腾讯云平台后，平台推了一个消息过来，云服务器疑似被黑，前两天部署的平台访问不了了，正常的SSH登录也报超时。

解决步骤

1. 修改云服务器用户（root、other）密码
2. SSH登录服务器
3. lastb命令，列出失败尝试的登录信息，可以看到从4月2日到25日，有人一直尝试登录系统
   
   
4. 修改SSH端口，由默认的22端口改成指定端口
5. top命令发现kswapd0占用CPU过多（腾讯云提示 /root/.configrc/kswapd0）
6. kill -9 $PID kswapd0的进程编码

遗留问题

我的Pycharm中使用Development部署工具，之前的配置如下：

现在的问题是，SFTP使用22端口连接不上云服务器。研究一下SFTP如下：

• SFTP是安全文件传输协议的缩写，安全文件传送协议。可以为传输文件提供一种安全的加密方法
• SFTP为SSH的一部分。在SSH软件包中，已经包含了一个叫作SFTP的安全文件传输子系统，SFTP本身没有单独的守护进程，它必须使用SSHD守护进程（端口号默认是22）来完成相应的连接操作，所以从某种意义上来说，SFTP并不像一个服务器程序，而更像是一个客户端程序。

Linux 入侵类问题排查思路

日志参考命令

lastlog

• 报告所有用户或给定用户的最新登录信息
• -u --user 报告指定用户的lastlog记录

last

• 列出目前与过去登入系统的用户信息
• 示例说明
  • still logged in：表示依然在线
  • 10:32 - 10:32：表示该用户在线的时间区间
  • (04:53)：表示用户持续在线的时长
    
• 例子
  • last -x ：显示系统关闭、用户登录和退出的历史
  • last -t 20200420000000 ：显示20200420000000之前的登录信息

lastb

• 列出失败尝试的登录信息
• 默认读取的是/var/log/btmp文件的信息