被锁定的用户如何继续运行?

被锁定的用户如何继续运行?

我有一个被入侵的服务器,很可能是一个加密矿工或者什么东西,htop报告如下:

30393 geauxsmar  20   0  5328  3984  2540 R 100.  0.1 21h26:45 [sync_supers]

我将其锁定为:

sudo usermod --expiredate 1 geauxsmar
sudo passwd -l geauxsmar

昨天终止了该进程,我第二天回来时发现它仍然在运行,CPU 使用率为 100%,而用户却被锁定了?

运行 Apache 的服务器上有十几个过时的 Drupal 网站(自从 Drupalgeddon 以来,我推测这是黑客进入服务器的方式,但完全无法追踪哪个网站、哪个文件,即使修补之后,他们可能已经留下了后门、自定义文件并注入了数据库)。

更新:

root@www1 / # ls -al /proc/30393/
total 0
dr-xr-xr-x   9 geauxsmart geauxsmart 0 Apr 29 16:09 .
dr-xr-xr-x 156 root       root       0 Apr 26 11:39 ..
dr-xr-xr-x   2 geauxsmart geauxsmart 0 May  2 08:15 attr
-r--------   1 geauxsmart geauxsmart 0 May  2 08:15 auxv
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 cgroup
--w-------   1 geauxsmart geauxsmart 0 May  2 08:15 clear_refs
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 cmdline
-rw-r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 comm
-rw-r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 coredump_filter
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 cpuset
lrwxrwxrwx   1 geauxsmart geauxsmart 0 May  2 08:15 cwd -> /run/shm/.FILE (deleted)
-r--------   1 geauxsmart geauxsmart 0 May  2 08:15 environ
lrwxrwxrwx   1 geauxsmart geauxsmart 0 May  2 08:15 exe -> /usr/bin/perl
dr-x------   2 geauxsmart geauxsmart 0 May  2 08:15 fd
dr-x------   2 geauxsmart geauxsmart 0 May  2 08:15 fdinfo
-rw-r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 gid_map
-r--------   1 geauxsmart geauxsmart 0 May  1 07:55 io
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 limits
-rw-r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 loginuid
dr-x------   2 geauxsmart geauxsmart 0 May  2 08:15 map_files
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:09 maps
-rw-------   1 geauxsmart geauxsmart 0 May  2 08:15 mem
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 mountinfo
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 mounts
-r--------   1 geauxsmart geauxsmart 0 May  2 08:15 mountstats
dr-xr-xr-x  13 geauxsmart geauxsmart 0 May  2 08:15 net
dr-x--x--x   2 geauxsmart geauxsmart 0 May  2 08:15 ns
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 numa_maps
-rw-r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 oom_adj
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 oom_score
-rw-r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 oom_score_adj
-r--------   1 geauxsmart geauxsmart 0 May  2 08:15 pagemap
-r--------   1 geauxsmart geauxsmart 0 May  2 08:15 personality
-rw-r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 projid_map
lrwxrwxrwx   1 geauxsmart geauxsmart 0 May  2 08:15 root -> /
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 schedstat
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 sessionid
-rw-r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 setgroups
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 smaps
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 smaps_rollup
-r--------   1 geauxsmart geauxsmart 0 May  2 08:15 stack
-r--r--r--   1 geauxsmart geauxsmart 0 Apr 29 16:18 stat
-r--r--r--   1 geauxsmart geauxsmart 0 May  1 07:55 statm
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 status
-r--------   1 geauxsmart geauxsmart 0 May  2 08:15 syscall
dr-xr-xr-x   3 geauxsmart geauxsmart 0 May  2 08:05 task
-rw-rw-rw-   1 geauxsmart geauxsmart 0 May  2 08:15 timerslack_ns
-rw-r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 uid_map
-r--r--r--   1 geauxsmart geauxsmart 0 May  2 08:15 wchan

root@www1 / # cat /proc/30393/cmdline
[sync_supers]root@www1 / #

相关内容