我刚刚注意到过去几天我的服务器上的 CPU 使用率很高,并检查了进程。看来下面这两个进程正在消耗我的 CPU 使用率:
30741 www-data 20 0 89556 10264 4 S 213.6 0.1 26636:45 /tmp/sshm -c /tmp/.u
18575 www-data 20 0 725948 10244 56 S 212.3 0.1 6608:57 /tmp/.FILE/stak/ld-linux-x86-64.so.2 --library-path /tmp/.FILE/stak /tmp/.FILE/stak/xmrig -o 195.22.126.117:443 -u 45ENzNUptUrV8nLM2Cwwwb1r98M7ZPocmdsmg1SKWAL6b8DJQcU3+
我的服务器是否被黑客入侵,或者正如我在其他地方读到的那样,被用于加密货币挖掘?在这种情况下我该怎么办?
我真的很感激任何帮助/支持。谢谢你!
答案1
只需查看您发布的输出,我就可以看到加密货币矿工xmrig
正在运行。如果您不打算启动该流程,则具有足够访问权限的人可以启动该流程。
您发布了两个进程,每个进程看起来都很可疑:
30741 www-data 20 0 89556 10264 4 S 213.6 0.1 26636:45 /tmp/sshm -c /tmp/.u
www-data
这是一个通过运行带有/tmp/sshm
参数 的可执行文件所拥有的进程/tmp/.u
。您应该能够检查这两个文件以确定它们是否是恶意的。
18575 www-data 20 0 725948 10244 56 S 212.3 0.1 6608:57 /tmp/.FILE/stak/ld-linux-x86-64.so.2 --library-path /tmp/.FILE/stak /tmp/.FILE/stak/xmrig -o 195.22.126.117:443 -u 45ENzNUptUrV8nLM2Cwwwb1r98M7ZPocmdsmg1SKWAL6b8DJQcU3+
这是 拥有的另一个进程www-data
,这是加密货币矿工。它已将自身安装到/tmp/.FILE
.如果您没有安装并运行它,那么您肯定会在某个地方被利用。
如果这些进程是恶意的,您需要杀死它们以便它们停止运行。然后,您需要查找这些恶意文件的入口点。由于它们属于www-data
,因此您很可能在此服务器上有一个以该用户身份运行的合法进程(可能是 Web 服务器或应用程序),允许创建和执行这些文件。
您需要尽快找到该入口点并修复它,否则恶意文件可能会再次出现。查看您的日志文件应该会有所帮助。确保检查用户www-data
能够执行的任何操作。仔细检查您的网络服务器和/或网络应用程序,以确保它们不允许安装和执行这些文件。
我见过的缓解此类问题的一个服务器强化步骤是/tmp
根本不允许执行: mount -o noexec,remount /tmp
。