所以最近,每次我启动我的 Linux 服务器时,所有两个 CPU 都得到了 100% 的利用率,而当我检查正在运行的进程时,我看到一个名为“S01wipefs”的进程占用了我的所有 CPU。
当我输入“which S01wipefs”时,我得到的结果为:/usr/bin/which: no S01wipefs in (/usr/lib64/qt-3.3/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin)
基本上什么都没有。
请问我该如何解决这个问题?
答案1
通过谷歌搜索,它似乎是一种恶意软件,因此如果您尝试删除/杀死它,那么一切都无法预料。最安全的做法是,在不知道它如何工作的情况下,尽快将系统脱机,并尝试通过在更新的系统上安装数据分区(noexec,只读)来挽救所有重要内容。如果尚未提供,请稍后查看特定于恶意软件的删除说明。请注意,无论恶意软件以何种方式进入您的系统,它可能仍然开放。
话虽如此,如果您不关心其余数据或网络的安全,您可以尝试使用 kill -STOP 停止它并尝试找到它的所有其他组件。/proc/PID/exe 作为链接,/proc/PID/fd 作为使用的文件,/proc/PID/maps 的内容通常揭示它的作用以及它依赖哪些其他组件来重新启动。
答案2
如果它是恶意软件(听起来确实像是恶意软件),最好的办法是清除并重建机器。如果不进行认真的取证,就无法知道可能感染了什么,也无法知道是否备份了感染本身。
这里有一个规范的答案:我该如何处理受到感染的服务器?其中有更详细的内容,并且给出了一些非常好的建议。