我在 EC2 上有一个 Ubuntu 实例(t3.medium,Ubuntu Server 18.04 LTS),它消耗了大量 CPU。它们的名字无法通过 Google 搜索到(只是随机字符),并且无法提供任何线索来判断它们是什么。我该如何调查这个问题?附件是一张截图:
我尝试终止进程,但几分钟后又会再次发生。重启后也是一样。
答案1
恭喜!先生,您现在是受恶意软件感染的服务器的所有者。
这可能是某种加密货币矿工。
一般来说,它们倾向于在你的 crontab 中创建一个条目。
要检查用户的 crontab ubuntu,请运行
sudo crontab -e -u ubuntu
删除任何未知的条目,但记下它们指向的位置。
更新 crontab 后,终止所有进程,然后再次检查 crontab。然后使用 删除 crontab 引用的文件rm。
重启,确认它不会再次出现。找到用于进入的任何漏洞,并确保一切已更新且再次安全,否则您将很快再次受到感染。
我建议不要执行上述操作,而是销毁该实例并启动一个新的实例。