终止这些进程后,服务器再次恢复正常响应……那么这些进程在做什么?将来如何避免这种情况?
ubuntu@ip-172-16-0-150:~$ ps aux | grep owksvbmS
jenkins 10873 0.0 0.0 23172 496 ? Ss 01:22 0:00 ./var/lib/jenkins/owksvbmS
jenkins 10875 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS
jenkins 10876 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS
jenkins 10877 0.0 0.0 23172 496 ? S 01:22 0:09 ./var/lib/jenkins/owksvbmS
jenkins 10878 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS
jenkins 10879 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS
jenkins 10880 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS
jenkins 10881 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS
jenkins 10883 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS
jenkins 10884 0.0 0.0 23172 496 ? S 01:22 0:00 ./var/lib/jenkins/owksvbmS
jenkins 19874 0.0 0.0 23172 496 ? S 10:58 0:00 ./var/lib/jenkins/owksvbmS
jenkins 19875 99.5 0.0 23172 496 ? R 10:58 1:11 ./var/lib/jenkins/owksvbmS
答案1
您的 Jenkins 很可能已被入侵。运行 lsof -i 查看此二进制文件连接到的位置...很可能是某个中国 IP。在同一目录中查找其他二进制文件 (+x)。
答案2
找出进程正在做什么的最佳方法是通过运行 strace -p PID 附加到进程并查看它做了什么。要查看进程打开的文件,您可以运行 lsof -p PID。这应该可以让您很好地了解进程正在做什么。