我们有一台 centos 服务器,客户在上面运行 vps 容器。当我们运行时,ps auxwww我们会看到一个随机命名的进程正在运行(消耗大量带宽)。每次我们检查它的名称都不同:hx9hdoh0d、y98y9ydhi、87t8gt8878,它的名称就会改变。
是什么促成了更名?令人怀疑的是,有人不想保护这样的进程。
答案1
这给我敲响了警钟。
检查其进程 ID,并查看可执行文件是什么(符号链接)。您可以复制该链接指向的内容进行分析。还要检查它正在做什么。如果它连接到互联网,您可以在分析情况的同时对这些传出连接进行防火墙处理。ls -l /proc/process_id/exestrace -p process_id
如果该exe位置位于临时目录中的某个位置或其他可由 Web 服务器进程写入的位置,则可以相当肯定地认为系统已受到损害。它以什么用户身份运行?如果它不是root,那么造成的损害可能是有限的,你可能之后就不用清理了;但是,我强烈建议擦除系统,从备份中恢复,并找出您的系统是如何受到损害的,以防止再次发生这种情况。