記一次機器機器被黑經歷——一直髮送SSH請求，kswapd0、tsm內存佔用太高

原由

今天收到ISP供應商反饋，公司公網地址被國外某機構加入網絡黑名單，一直試圖登陸對方服務器。
經過登陸網關設備發現內網一臺centos服務器一直在發送ssh登陸請求。
過程：
1.初步排查
登陸該機器發現有兩個進程內存佔用有點高
以下圖：

查看除系統外正在運行的進程，發現有幾個陌生的進程

ps  -aux | grep -v ']'

經過度娘搜索 其中關鍵詞 發現 多是中招了 （感謝CSDN兩位大大，參考連接見文末）

2.根據PID進一步定位文件位置

lsof -p 14176  | more

進一步查找文件位置

3.刪除源文件，殺死進程


4.進一步查找，是否有定時進程

cat /etc/passwd | grep 'bash' | cut -f 1 -d : | xargs -I {} crontab -l -u {}

5.清除定時任務，防止再生

參考連接：
1.https://blog.csdn.net/qq_35456400/article/details/106467778
2.https://blog.csdn.net/subfate/article/details/106546646