最近VPS总是发来停机的消息，每次都是重新开一个instance 就好了没有太在意，但是经常这样就不好了，看了一下到底是为什么。
收到的邮件如下，

We've detected an outgoing Denial of Service attack (http://do.co/21Y1Gc1) originating from your Droplet. Due to the traffic’s harmful nature, your Droplet was taken offline; this means it is not connected to the internet and all hosted sites and services are unreachable. We know that this action is disruptive, but it’s necessary to protect you, our network, and the target of your Droplet’s attack.

什么 我机器开始DDos了 还是对外进行!!! 表示惊叹，昨天还刚买了个T420准备来鼓捣一番，没想到居然碰到这种事儿，来ssh去看看。很不幸，ssh被禁用了，无奈之下只能通过web console 进行操作，没有了复制粘贴的功能，命令要自己一行一行的敲，让人真的很无奈，但是谁让是自己惹的祸呢。
简单小计一下到底是怎么回事儿，首先看一下 history命令，里面都是我自己的命令，没有别人进行干涉，很好。
然后 ps aux 发现了奇怪的进程 fmijutrihn 这是个啥玩意儿 不知道，也没有见过。目测就是被入侵了。
寻找一下突破口目测是ssh过来的，因为这个服务器基本新的，没有别的服务，除了一个nginx 在跑着，最近也没有听说过nginx有个很厉害的0day可以杀掉各种服务器。
日志目录存在 /var/log下面 其中 auth.log 是ssh的log，简单的命令查看一下。

cat auth.log|grep "Failed"|grep -E -o "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}"|sort|uniq -c|sort -nrk1,1

列出所有尝试登录的ip，并且显示尝试次数。

效果大概是这个样子的，找到了元凶，直接改密码就好了，建立instance的时候直接用自己的公钥就好了，也不麻烦改密码了，什么玩意儿么碰到这个奇葩的事情。 目测大家都是一条龙服务了。

这次没有别的可以记录的，就是几条简单命令的组合。