我有一些名为“进程”的进程bash64占用了我所有的 CPU。
如果我杀死它们,它们又会重新出现。它们的祖先是一个 bash 进程,而 systemd 是其祖先。
如何找到正在运行的进程/systemd 单元?
root@srv1:~# ls -al /proc/$(pidof bash64 | awk '{print $1}')/exe
lrwxrwxrwx 1 root root 0 juil. 29 18:44 /proc/11655/exe -> /root/.tmp00/bash64
root@srv1:~# ls .tmp00
27d96f548d2d99d032c4v1.2.0 bash bash64 bash.pid cfg cfgi uuid
如果我删除 .tmp00 目录,它会立即重新出现。
我的系统是 ext4/ssd 上的裸机 Ubuntu 20.04。我最近遇到了一些 DNS 解析问题,但这些问题来自我的路由器配置(但我的桌面上可能损坏了某些东西)。
答案1
您的系统已被加密矿工(可能是 SSH 蠕虫)入侵。我建议按照以下步骤操作:
- 断开计算机与任何网络的连接
bash64将该文件和同一文件夹中的其他文件复制到 USB 驱动器,chmod a-x file从这些文件中删除执行属性()。- 将您的个人数据从受感染的机器复制到适当的备份设备,不要使用网络来执行此操作,请使用 USB。
- 对受感染的计算机进行全新重新安装。
- 将步骤 2 中的文件上传至 VirustTotal