最近我开始管理一台服务器(由云提供商托管)用于工作。问题是服务器被注入了。现在和几个月内,服务器将被替换为新服务器,以解决任何线程。
问题:在 ubuntu 服务器中,有一个进程我无法完全追溯其来源,但该进程会定期返回。该进程占用了所有可用 CPU 的 80%,在被终止后会返回。有没有办法在该进程启动时自动终止它(始终具有相同的名称)。或者有没有办法阻止该进程启动(启动脚本中未列出该进程)。
也许这个问题真的很愚蠢或不完整。这方面的技能组合不是最好的。所以欢迎任何建议/提示。
进程名称为kthzabor,ubuntu版本为18.04
答案1
- kthzabor 是一个加密矿工。
使用以下命令查看是否可以找到有问题的文件:
sudo -i && crontab -l
crontab -l
more /etc/crontab
grep kthzabor /etc/systemd/system/*
sudo updatedb && locate kthzabor
看看是否能说明什么。
如果没有的话你也可以做一个
sudo find / -name '*kthzabor*' -print
但这需要一段时间:)
另一个有帮助的:
pstree -aH {pid of the process to find}
这将列出所有带有命令的进程
这次它位于,/dev/shm因此任何阅读本文的人都应先检查一下。
处理有问题的脚本是第一步:删除后脚本将被重新创建。执行 a 操作sudo chmod 000 kthzabor,它将无法读取,也无法删除。这可能会阻止它。可能比删除它更好。
系统挖掘是一种用于追溯进程启动过程的工具。将有一个进程处于活动状态,您需要删除/停用该进程。只需删除有问题的脚本即可。