一旦登录系统,我就可以看到以下 ssh 进程。
root 1899 1 0 12:35 ? 00:00:00 /tmp/.sshdd1407654346
root 1904 1899 0 12:35 ? 00:00:00 /tmp/.sshdd1407654346
root 1905 1904 0 12:35 ? 00:00:00 /tmp/.sshdd1407654346
root 1907 1904 0 12:35 ? 00:00:00 /tmp/.sshdd1407654346
root 1909 1904 0 12:35 ? 00:00:00 /tmp/.sshdd1407654346
这是某种病毒吗?如何清除它?
当我以普通用户身份登录系统并执行“ps -ef | grep ssh”时,我得到了上述输出。如您所见,进程 1899 由“init”(PID = 1)启动。我尝试使用 root 登录终止这些进程,但它们只是重新启动。
答案1
您的系统似乎被黑客入侵了。有很多方法和工具可以检测和修复这个问题,尝试使用 chkrootkit 之类的工具,http://www.chkrootkit.org/
有关此主题的更多信息:
https://serverfault.com/questions/650/how-can-i-detect-unwanted-inruptions-on-my-servers
http://garryjbs.hubpages.com/hub/Few-signs-that-your-Linux-server-has-been-hacked