ubuntu 16.04-xmr999 进程 %100 CPU 使用率,

ubuntu 16.04-xmr999 进程 %100 CPU 使用率,

我时不时会担心服务器资源消耗过高,在调查该问题后,我发现有一个名为xmr999使用整个服务器的 CPU 资源,我找不到有关此 xmr999 的任何信息,

同时服务提供商发送有关该服务器的滥用投诉。投诉是指该服务器用于攻击另一台服务器。

我检查了服务器是否有后门或病毒,结果显示没有问题

关于这个 xmr99 有什么建议吗,这是什么或者我该如何阻止它?

在此处输入图片描述

向所有人致敬

答案1

另一份报告称:https://centos.org/forums/viewtopic.php?f=48&t=70067您的系统似乎正在被用于比特币挖矿。如果您没有这样做,那么您的系统可能已被黑客入侵,其他人正在使用您的计算机来挖矿。

答案2

根据我的经验,我可以提出以下建议:

  • 检查定时任务运行该进程的用户xmr999使用以下命令:
    • crontab -l
    • 如果您发现其中有任何可疑之处,请跟踪该脚本及其文件夹。
    • 就我而言,我发现它正在路径中运行二进制可执行文件/tmp/.tx/每分钟都在某个路径中运行一个二进制可执行文件。我跟踪了该路径,发现有一些二进制可执行文件,其中一个是xmr999。另外,还有一个更新用户 crontab 的脚本。
    • 如果发现那种 crontab,请将其删除并删除相应的脚本。
  • 检查您的 sshd 设置 ( /etc/ssh/sshd_config)。这可能是您的计算机被入侵的原因。如果您的密码可以通过暴力破解方法破解,并且可以通过 ssh 密码方法访问您的计算机,那么您应该禁用通过明文密码进行的 ssh 登录。我建议将 ssh 切换到基于密钥的身份验证,并在sshd_config

    • PermitRootLogin no(不允许root用户通过ssh登录。)
    • PubkeyAuthentication yes(允许使用公钥进行身份验证,这是默认行为。)
    • PasswordAuthentication no(不允许使用密码进行身份验证,这是默认行为。)
    • PermitEmptyPasswords no(如果允许密码验证,则不允许密码为空字符串的账户登录,这是默认行为。)

    • 如果你想要了解 sshd 配置参数的更多详细信息,你可以使用以下命令查看其手册文件man sshd_config

  • 更改您的用户和根用户的密码。

  • 检查监听端口是否存在可疑活动。您可以通过以下命令执行此操作:

    • netstat -tlnp

相关内容