起因
前几天突然发现一台服务器掉线了…打开后台一看一整页全部都是Abuse Report,服务器也被suspend。在面板发现服务器被冻结前处于很长一段时间的满负载状态,Ticket内容显示这个ip被举报有扫描行为。
通过提交工单请求解冻之后登录,过一段时间发现tor这个用户被盗用并且启动了一个叫blitz64的服务。
后面通过删除被修改的crontab条目并重启修复,但是因为我忘了修改密码又被冻结了。^_^
修复过程因为比较匆忙没有记录,这里附上参考资料。
My VPS is under attack
Hacked Server
记一次ubuntu虚拟机被挖矿木马攻击的过程
记一次 VPS 被黑掉拉进僵尸网络
本文剩余部分用来记录修改密码并添加密钥登录和fail2ban的过程。
设置ssh密钥登录