我的 Linux 服务器中有很多 x44 临时任务

Question

这是恶意软件。可能是“矿工”。该tsm文件看起来像是 ld-linux.so 的常规副本，而tsm64实际上是进程二进制文件，httpd只是一个放在 argv[0] 中的假名。（请注意，所有这些任务都属于一个进程 (56274)；其余的是该进程内的线程。按 Shift+H 可显示或隐藏线程。）

作为恶意软件清除的一部分，您应该调查如何它首先到达那里，即不要急于杀死或删除所有内容。我会暂时使用暂停该进程kill -STOP或降低其优先级renice（因为杀死它可能只是让它在一段时间后自动重新启动）。

请注意，该进程正在运行你自己帐户，不在“httpd”或“www-data”或类似的东西下，这意味着您的个人 SSH 帐户已被泄露。是时候更改你的 SSH 密码了并创建一个新的 SSH 密钥对。
查看目录内部/tmp/.X44-unix/.rsync/c/lib/64，注意文件的“inode 更改”和“修改”时间，以及它们的所有者用户名。（尝试ls -lac或stat <path>获取“inode 更改”时间。）
检查您的系统日志（auth.log、security.log、journalctl）以查看当时是否有来自不寻常 IP 地址的登录，以确认是否确实通过 SSH 完成。
检查/proc/56274/cgroup该进程是否属于任何特定的 systemd 单元。如果它属于用户 .slice，则它是手动或通过 cron 启动的（最有可能）；如果它属于 .service，则它是由该服务启动的（不太可能）。
检查您的个人 crontab 和系统 crontab 中是否存在会启动该进程的异常作业。删除它们（用于crontab -e个人 cron）。
```
sudo grep -r X44 /etc
sudo grep -r X44 /var/spool/cron
```
重新启动以查看该进程是否重新启动；如果重新启动，请继续寻找可能启动该进程的位置。
删除整个/tmp/.X44-unix目录。（这不是一个重要的目录；它只是用来模拟保存 Xorg 套接字的真实 /tmp/.X11-unix 目录。）

Answer 1

这是恶意软件。可能是“矿工”。该tsm文件看起来像是 ld-linux.so 的常规副本，而tsm64实际上是进程二进制文件，httpd只是一个放在 argv[0] 中的假名。（请注意，所有这些任务都属于一个进程 (56274)；其余的是该进程内的线程。按 Shift+H 可显示或隐藏线程。）

作为恶意软件清除的一部分，您应该调查如何它首先到达那里，即不要急于杀死或删除所有内容。我会暂时使用暂停该进程kill -STOP或降低其优先级renice（因为杀死它可能只是让它在一段时间后自动重新启动）。

请注意，该进程正在运行你自己帐户，不在“httpd”或“www-data”或类似的东西下，这意味着您的个人 SSH 帐户已被泄露。是时候更改你的 SSH 密码了并创建一个新的 SSH 密钥对。
查看目录内部/tmp/.X44-unix/.rsync/c/lib/64，注意文件的“inode 更改”和“修改”时间，以及它们的所有者用户名。（尝试ls -lac或stat <path>获取“inode 更改”时间。）
检查您的系统日志（auth.log、security.log、journalctl）以查看当时是否有来自不寻常 IP 地址的登录，以确认是否确实通过 SSH 完成。
检查/proc/56274/cgroup该进程是否属于任何特定的 systemd 单元。如果它属于用户 .slice，则它是手动或通过 cron 启动的（最有可能）；如果它属于 .service，则它是由该服务启动的（不太可能）。
检查您的个人 crontab 和系统 crontab 中是否存在会启动该进程的异常作业。删除它们（用于crontab -e个人 cron）。
```
sudo grep -r X44 /etc
sudo grep -r X44 /var/spool/cron
```
重新启动以查看该进程是否重新启动；如果重新启动，请继续寻找可能启动该进程的位置。
删除整个/tmp/.X44-unix目录。（这不是一个重要的目录；它只是用来模拟保存 Xorg 套接字的真实 /tmp/.X11-unix 目录。）

我的 Linux 服务器中有很多 x44 临时任务

答案1

相关内容