一、发现

今天早上发现腾讯云的服务器特别卡，响应速度很慢，检查之后发现被植入了kswapd0。
在这里插入图片描述
pid为2592和2538的异常进程

45.9.148.129，查询后发现ip地址来自荷兰

执行脚本放在了/home/用户名/.configrc下面

crontab -l发现定时任务也被更改，tmp/下也有异常程序

cat /var/log/secure |grep “Accept” 可查看异常登录信息

二、解决

被黑的问题主要是密码设置较简单，首先关掉所有账号的密码登录，只保留秘钥登录开启
vim /etc/ssh/sshd_config 在这里插入图片描述
然后 service sshd restart
生成ssh秘钥对，在服务器上保留.pub的公钥并重命名为authorized_keys，下载id_rsa至本地。
SecureCRT登录时选择之前下载的私钥即可

在这里插入图片描述
解决了登录问题后接下来就是干掉异常程序了
kill -9 2592
kill -9 2538
rm -rf /home/用户名/.configrc
crontab -e清除定时任务

rm -rf /tmp/.X25-unix
到此基本完成，看接下来怎么样~

原文链接：https://blog.csdn.net/wang_xiaowang/article/details/120234783