我的服务器被黑了吗?

我的服务器被黑了吗?

我刚刚注意到过去几天我的服务器上的 CPU 使用率很高,并检查了进程。看来下面这两个进程正在消耗我的 CPU 使用率:

30741 www-data  20   0   89556  10264      4 S 213.6  0.1  26636:45 /tmp/sshm -c /tmp/.u
18575 www-data  20   0  725948  10244     56 S 212.3  0.1   6608:57 /tmp/.FILE/stak/ld-linux-x86-64.so.2 --library-path /tmp/.FILE/stak /tmp/.FILE/stak/xmrig -o 195.22.126.117:443 -u 45ENzNUptUrV8nLM2Cwwwb1r98M7ZPocmdsmg1SKWAL6b8DJQcU3+

我的服务器是否被黑客入侵,或者正如我在其他地方读到的那样,被用于加密货币挖掘?在这种情况下我该怎么办?

我真的很感激任何帮助/支持。谢谢你!

答案1

只需查看您发布的输出,我就可以看到加密货币矿工xmrig正在运行。如果您不打算启动该流程,则具有足够访问权限的人可以启动该流程。

您发布了两个进程,每个进程看起来都很可疑:

30741 www-data  20   0   89556  10264      4 S 213.6  0.1  26636:45 /tmp/sshm -c /tmp/.u

www-data这是一个通过运行带有/tmp/sshm参数 的可执行文件所拥有的进程/tmp/.u。您应该能够检查这两个文件以确定它们是否是恶意的。

18575 www-data  20   0  725948  10244     56 S 212.3  0.1   6608:57 /tmp/.FILE/stak/ld-linux-x86-64.so.2 --library-path /tmp/.FILE/stak /tmp/.FILE/stak/xmrig -o 195.22.126.117:443 -u 45ENzNUptUrV8nLM2Cwwwb1r98M7ZPocmdsmg1SKWAL6b8DJQcU3+

这是 拥有的另一个进程www-data,这是加密货币矿工。它已将自身安装到/tmp/.FILE.如果您没有安装并运行它,那么您肯定会在某个地方被利用。

如果这些进程是恶意的,您需要杀死它们以便它们停止运行。然后,您需要查找这些恶意文件的入口点。由于它们属于www-data,因此您很可能在此服务器上有一个以该用户身份运行的合法进程(可能是 Web 服务器或应用程序),允许创建和执行这些文件。

您需要尽快找到该入口点并修复它,否则恶意文件可能会再次出现。查看您的日志文件应该会有所帮助。确保检查用户www-data能够执行的任何操作。仔细检查您的网络服务器和/或网络应用程序,以确保它们不允许安装和执行这些文件。

我见过的缓解此类问题的一个服务器强化步骤是/tmp根本不允许执行: mount -o noexec,remount /tmp

相关内容