某局点U-Center 2.0频繁出现主机到当前Leader节点网络不通告警

不涉及

U-Center 2.0产生规告警：主机（IP）到当前Leader节点网络不通告警，该告警为每5分钟1次的自动恢复告警。

U-Center2.0频繁出现此类告警，需要进一步排查原因。

（1）首先确认该告警产生原理是：Linux系统层面有ssh加固功能，当有IP使用错误的密码去ssh登录服务器，认识失败连续5次会导致系统锁定5分钟，这期间所有的ssh连接都会失败，而matrix会定时向节点进行探测，当探测失败会产生该告警，所以告警是有规律的5分钟一次；

（2）当产生该告警，除了先排查实际是否有人频繁用错误的密码ssh服务器后台外（一直频繁登录可能性不大），可能要考虑是否环境中存在未知IP的攻击；

（3）查看UC服务器后台/var/secure日志，该日志记录了用户登录信息，常用于检查是否有较多认证失败记录，经查看该日志，有IP一直在使用错误的密码ssh到主机：

（4）经排查该IP为EPS扫描器所在的服务器，但是经与扫描器研发确认，未发现扫描器有机制会用到ssh登录UC后台的功能，故需要通过抓包配合查找进程进一步排查；

（5）用下列命令在攻击源所在服务器进行故障复现，可抓取到该IP在攻击UC后台所用到的进程

watch -n 1 'date +"%Y-%m-%d %H:%M:%S" >> 111.txt && sudo netstat -tnp | grep IP:22 >> 111.txt'，其中IP为被攻击服务器IP地址，通过抓取故障时间的进程进行输出后，如下图，发现有work32的进程一直在尝试与UC后台建立连接，后在百度查询可知该进程类似挖矿病毒，至此，通过百度所给方法以及结合研发所给建议对挖矿进程保存的ssh密钥以及进程进行清理，为保险起见，建议修改被攻击服务器ssh端口。（

病毒处理方法可参考百度，由于病毒种类不一致，处理前请跟Linux运维人员进行确认后再处理，***.***/faqs-488.html

）

（1）进行病毒清理（此种情况一般是病毒进程记录到了被攻击服务器的密钥，所以一直进行暴力破解），所以需要彻底找到病毒进程进行清理；

（2）修改ssh端口号