我有一个被入侵的服务器,很可能是一个加密矿工或者什么东西,htop报告如下:
30393 geauxsmar 20 0 5328 3984 2540 R 100. 0.1 21h26:45 [sync_supers]
我将其锁定为:
sudo usermod --expiredate 1 geauxsmar
sudo passwd -l geauxsmar
昨天终止了该进程,我第二天回来时发现它仍然在运行,CPU 使用率为 100%,而用户却被锁定了?
运行 Apache 的服务器上有十几个过时的 Drupal 网站(自从 Drupalgeddon 以来,我推测这是黑客进入服务器的方式,但完全无法追踪哪个网站、哪个文件,即使修补之后,他们可能已经留下了后门、自定义文件并注入了数据库)。
更新:
root@www1 / # ls -al /proc/30393/
total 0
dr-xr-xr-x 9 geauxsmart geauxsmart 0 Apr 29 16:09 .
dr-xr-xr-x 156 root root 0 Apr 26 11:39 ..
dr-xr-xr-x 2 geauxsmart geauxsmart 0 May 2 08:15 attr
-r-------- 1 geauxsmart geauxsmart 0 May 2 08:15 auxv
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 cgroup
--w------- 1 geauxsmart geauxsmart 0 May 2 08:15 clear_refs
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 cmdline
-rw-r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 comm
-rw-r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 coredump_filter
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 cpuset
lrwxrwxrwx 1 geauxsmart geauxsmart 0 May 2 08:15 cwd -> /run/shm/.FILE (deleted)
-r-------- 1 geauxsmart geauxsmart 0 May 2 08:15 environ
lrwxrwxrwx 1 geauxsmart geauxsmart 0 May 2 08:15 exe -> /usr/bin/perl
dr-x------ 2 geauxsmart geauxsmart 0 May 2 08:15 fd
dr-x------ 2 geauxsmart geauxsmart 0 May 2 08:15 fdinfo
-rw-r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 gid_map
-r-------- 1 geauxsmart geauxsmart 0 May 1 07:55 io
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 limits
-rw-r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 loginuid
dr-x------ 2 geauxsmart geauxsmart 0 May 2 08:15 map_files
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:09 maps
-rw------- 1 geauxsmart geauxsmart 0 May 2 08:15 mem
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 mountinfo
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 mounts
-r-------- 1 geauxsmart geauxsmart 0 May 2 08:15 mountstats
dr-xr-xr-x 13 geauxsmart geauxsmart 0 May 2 08:15 net
dr-x--x--x 2 geauxsmart geauxsmart 0 May 2 08:15 ns
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 numa_maps
-rw-r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 oom_adj
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 oom_score
-rw-r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 oom_score_adj
-r-------- 1 geauxsmart geauxsmart 0 May 2 08:15 pagemap
-r-------- 1 geauxsmart geauxsmart 0 May 2 08:15 personality
-rw-r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 projid_map
lrwxrwxrwx 1 geauxsmart geauxsmart 0 May 2 08:15 root -> /
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 schedstat
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 sessionid
-rw-r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 setgroups
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 smaps
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 smaps_rollup
-r-------- 1 geauxsmart geauxsmart 0 May 2 08:15 stack
-r--r--r-- 1 geauxsmart geauxsmart 0 Apr 29 16:18 stat
-r--r--r-- 1 geauxsmart geauxsmart 0 May 1 07:55 statm
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 status
-r-------- 1 geauxsmart geauxsmart 0 May 2 08:15 syscall
dr-xr-xr-x 3 geauxsmart geauxsmart 0 May 2 08:05 task
-rw-rw-rw- 1 geauxsmart geauxsmart 0 May 2 08:15 timerslack_ns
-rw-r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 uid_map
-r--r--r-- 1 geauxsmart geauxsmart 0 May 2 08:15 wchan
和
root@www1 / # cat /proc/30393/cmdline
[sync_supers]root@www1 / #