我发现了这个过程:
/root/b26
以下是顶部:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
20810 root 20 0 339m 808 360 S 100 0.0 27:39.95 b26
我看到它使用了 100% 的 CPU,而且进程名称不是很具描述性,所以看起来它可能是一个坏进程。
我搜索了 Google,但找不到太多有关此进程的信息。但我确实看到有人说此进程正在发起DDoS攻击。我的主机也向我报告说我的服务器正在发送出站 DDoS 攻击。这可能是正在发起攻击的进程吗?
对我来说也是一样吗?我应该删除它吗?如果是的话,我该如何删除它?
答案1
相信您的主机在发现出站 DDOS 时能够识别。
是的,通过快速的 WWW 搜索就可以找到用于安装此程序的脚本。
您的计算机的超级用户帐户已被盗用。攻击者已在密码数据库中安装了至少两个其他相当于 root 的帐户,并且可能还安装了其他后门;正如您的主机向您报告的那样,您的计算机现在已成为向第三方发送 DDOS 攻击的僵尸网络的一部分。
- 彻底关闭计算机的网络访问,现在. 不要胡闹。不要尝试。把它离开。
- 清理您的计算机。从可信赖的来源擦除并重新安装可获得最佳效果。
- 使用新的 root 密码。设置它前您恢复计算机的网络访问,并且后擦除。不要使用这种愚蠢的方法,为了获得最佳效果,请充分利用您拥有的任何工具来阻止人们远程登录您的计算机(无论是以超级用户身份还是其他身份)。