我的 Ubunut 18.04 服务器正在运行一个命令,auditlog
该命令消耗了大约 100% 的 CPU。如果我杀死找到 PID 的进程,它会正常工作一天左右,然后它会再次运行并消耗我的 CPU。
一旦我安装了邮件服务器在我的机器中,后来我将其删除,我猜这可能是审核日志的原因,但我无法追踪它。
请帮我删除此服务。
root 11710 87.7 0.2 715092 4684 ? Ssl Apr14 1709:42 auditlog
ubuntu 12059 0.0 0.0 14428 1004 pts/0 S+ 10:47 0:00 grep --color=auto auditlog
命令输出:cat /proc/9499/cmdline
是审计日志
和ls -lF /proc/9499/fd/
输出:
lr-x------ 1 root root 64 Apr 20 11:29 0 -> /dev/null
l-wx------ 1 root root 64 Apr 20 11:29 1 -> 'pipe:[7363932]'
lrwx------ 1 root root 64 Apr 20 11:29 10 -> 'anon_inode:[eventfd]'
lr-x------ 1 root root 64 Apr 20 11:29 11 -> /dev/null
lrwx------ 1 root root 64 Apr 20 11:29 12 -> 'socket:[7417752]'
l-wx------ 1 root root 64 Apr 20 11:29 2 -> 'pipe:[7363933]'
lrwx------ 1 root root 64 Apr 20 11:29 3 -> 'anon_inode:[eventpoll]'
lr-x------ 1 root root 64 Apr 20 11:29 4 -> 'pipe:[7363997]'
l-wx------ 1 root root 64 Apr 20 11:29 5 -> 'pipe:[7363997]'
lr-x------ 1 root root 64 Apr 20 11:29 6 -> 'pipe:[7363996]'
l-wx------ 1 root root 64 Apr 20 11:29 7 -> 'pipe:[7363996]'
lrwx------ 1 root root 64 Apr 20 11:29 8 -> 'anon_inode:[eventfd]'
lrwx------ 1 root root 64 Apr 20 11:29 9 -> 'anon_inode:[eventfd]'
并且该命令没有找到任何内容grep -s -i auditlog /etc/cron* /etc/cron*/*
答案1
我也有同样的情况,我不敢说这是一种加密货币挖矿病毒。
您的服务器可能已受到威胁,因此最安全的做法是重建。
编辑:
有人问我如何确定这一点。
我运行了一个netstat
命令,类似于netstat -antup
列出出站连接的命令;由此我发现“auditlog”进程正在向服务器发送出站请求static.88-99-193-240.clients.your-server.de
我用谷歌搜索了该地址,它导致了这个页面: https://www.programmerought.com/article/54726926874/这完全反映了我的问题,作者对这个加密挖掘机器人做了一些重要的分析。那里有很多可能有用的细节。
另外(我不知道在哪里)建议是重建服务器,因为它可能会再次受到损害。