一、告警

下午快下班的时候，突然收到一条腾讯云的告警短信

什么 phpivpVCE、phpGFJopg 一看就不是正经文件。

二、应急处理

既然机器被入侵了，第一反应就是关机，于是果断登录控制台，关机。

接下来就要考虑如何处理了，为了防止对方继续操作机器，首先关闭所有网络策略，即调整安全组，把所有的端口全部屏蔽掉。

然后，通过控制台 VNC 登录服务器，结果尴尬的是居然把密码忘了，于是重置密码，再尝试重新登录。

折腾了半天，终于登上去了，到目录下面看了看，却没有找到告警短信中提示到的文件，查看了控制台的消息中心：

卧槽，给我惊到了，腾讯云居然直接给它们干掉了。

然后看看监控：

应该是那个时间点 cpu 突然飙升（估计是想挖矿吧），触发了腾讯云的监测机制，扫描到文件之后，将它们杀掉了。

这就说明了，腾讯云上确实是没有隐私的；腾讯云的霸王条款里，一定有一条类似 “如果你的机器可能对平台造成影响，腾讯云有权对它进行处理”

既然文件被清除了，而且从监控来看，后续所有指标全部恢复了，密码也重置了，并且我机器里就跑了个博客，也没啥重要的东西，索性就不管了，放他跑一晚上，第二天再看看情况。（主要是有定期备份，心中不慌，大不了直接给它重装了）

于是打开常用的网络策略，恢复博客，回家。

三、后续

第二天到公司，为了确认没人用我的机器挖矿，看了下监控

连接数有点多啊，登录的时候又发现有几百次登陆失败：

原来是有人在爆破我的密码，一直持续到凌晨4点多才消停。

翻了下系统日志，除了 n 多连接请求，也没有什么有价值的信息（下面黄色的部分，是我重启机器的日志）

好吧，为了防止再被爆破，通过 pam_tally2 给机器加上策略，连续输错 3 次密码，就会锁定 5 分钟，这是菜鸡能做的最后的挣扎了。。。。