如何从 ubuntu 中删除审核日志?

如何从 ubuntu 中删除审核日志?

我的 Ubunut 18.04 服务器正在运行一个命令,auditlog该命令消耗了大约 100% 的 CPU。如果我杀死找到 PID 的进程,它会正常工作一天左右,然后它会再次运行并消耗我的 CPU。

一旦我安装了邮件服务器在我的机器中,后来我将其删除,我猜这可能是审核日志的原因,但我无法追踪它。

请帮我删除此服务。

root     11710 87.7  0.2 715092  4684 ?        Ssl  Apr14 1709:42 auditlog
ubuntu   12059  0.0  0.0  14428  1004 pts/0    S+   10:47   0:00 grep --color=auto auditlog

命令输出:cat /proc/9499/cmdline审计日志

ls -lF /proc/9499/fd/输出:

lr-x------ 1 root root 64 Apr 20 11:29 0 -> /dev/null
l-wx------ 1 root root 64 Apr 20 11:29 1 -> 'pipe:[7363932]'
lrwx------ 1 root root 64 Apr 20 11:29 10 -> 'anon_inode:[eventfd]'
lr-x------ 1 root root 64 Apr 20 11:29 11 -> /dev/null
lrwx------ 1 root root 64 Apr 20 11:29 12 -> 'socket:[7417752]'
l-wx------ 1 root root 64 Apr 20 11:29 2 -> 'pipe:[7363933]'
lrwx------ 1 root root 64 Apr 20 11:29 3 -> 'anon_inode:[eventpoll]'
lr-x------ 1 root root 64 Apr 20 11:29 4 -> 'pipe:[7363997]'
l-wx------ 1 root root 64 Apr 20 11:29 5 -> 'pipe:[7363997]'
lr-x------ 1 root root 64 Apr 20 11:29 6 -> 'pipe:[7363996]'
l-wx------ 1 root root 64 Apr 20 11:29 7 -> 'pipe:[7363996]'
lrwx------ 1 root root 64 Apr 20 11:29 8 -> 'anon_inode:[eventfd]'
lrwx------ 1 root root 64 Apr 20 11:29 9 -> 'anon_inode:[eventfd]'

并且该命令没有找到任何内容grep -s -i auditlog /etc/cron* /etc/cron*/*

答案1

我也有同样的情况,我不敢说这是一种加密货币挖矿病毒。

您的服务器可能已受到威胁,因此最安全的做法是重建。

编辑:

有人问我如何确定这一点。

我运行了一个netstat命令,类似于netstat -antup列出出站连接的命令;由此我发现“auditlog”进程正在向服务器发送出站请求static.88-99-193-240.clients.your-server.de

我用谷歌搜索了该地址,它导致了这个页面: https://www.programmerought.com/article/54726926874/这完全反映了我的问题,作者对这个加密挖掘机器人做了一些重要的分析。那里有很多可能有用的细节。

另外(我不知道在哪里)建议是重建服务器,因为它可能会再次受到损害。

相关内容