几个月以来,我一直在运行搭载 Ubuntu 20.04 的专用高性能 AMD 服务器。
今晚 CPU 突然飙升至 100%,直到我关闭了凌晨 2 点出现的服务“perfctl”。
我正在运行 Apparmor:
apparmor module is loaded.
8 profiles are loaded.
8 profiles are in enforce mode.
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/connman/scripts/dhclient-script
/usr/sbin/mysqld
/{,usr/}sbin/dhclient
lsb_release
nvidia_modprobe
nvidia_modprobe//kmod
0 profiles are in complain mode.
1 processes have profiles defined.
1 processes are in enforce mode.
/usr/sbin/mysqld (1124)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
什么原因造成这种情况?将来如何预防?
答案1
用户确实www有点可疑。您在运行 AppArmor 吗?您在运行向公众公开的 Web 服务吗?
在我看来,这就像您的服务器已被入侵,并且有人利用www用户运行他们调用的二进制文件perfctl来隐藏其身份。
你可能想读我该如何处理受到感染的服务器?
答案2
我也遇到过同样的恶意软件。
您可以尝试检查所有 cronjob 任务是否可疑。
- 检查所有用户的 cron 任务列表
for user in $(cut -f1 -d: /etc/passwd); do echo $user; crontab -u $user -l; done
我使用上述命令发现了恶意软件,那么你应该将其删除。
www
11 * * * * /home/www/.config/cron/perfcc