我的 Ubuntu 12.04 服务器变得周期性地无响应。恢复后(当我运行 top 时),我看到一堆名为“tang”的进程。它们没有使用大量资源(大约 3% 的 CPU),但我不知道它们是什么或它们在做什么。我的 Google-fu 在这方面让我失望了。有人知道那个进程是什么吗?
先感谢您!
后续:经过进一步挖掘,服务器确实被攻破。结果发现有一组二进制文件从 /root/ 和 /home/ 目录复制并运行。
下面列出了各种二进制文件,希望对后来者有所帮助。我能够快速禁用服务器上的网络接口,复制已知和需要的文件,然后启动新服务器。
日志很干净,所以我猜想这是由于服务器上没有及时修复 heartbleed 漏洞造成的。攻击发生在 4 月 17 日。
流氓二进制文件:tang yang yangji32 yangji64 mash 999 dd.64 trffg weim3 weimiao32 weimiao64 xiaoweigj xudp 124.173
答案1
将 /root/tang 复制到其他目录以防止其被删除。如果它不是由软件包安装的,并且您自己没有安装它,则您的服务器可能已被入侵。
运行strings /dir/where/you/copied/it/to/tang以查找有关其功能的任何线索(不要运行它!)。将服务器与网络断开或将其移动到无法访问内部资源的 VLAN 可能是一个很好的预防措施。如果您觉得幸运的话,请使用 运行该程序strace tang,这应该可以让您了解它的功能。确保在执行此操作之前采取预防措施,例如将服务器移动到不同的 VLAN 并删除任何敏感信息。您可能还想嗅探服务器的网络,以便您可以查看它与互联网上的哪些资源交互。