在我的Ubuntu服务器上运行了一个匿名进程,它正在使用100%的内存。
用户:Tomcat
进程:/ tmp / autox -B -a cryptonight -o stratum + tcp://xmr.crypto-pool.fr:443 -u 47TS1NQvebb3Feq91MqKdSGCUq18dTEdmfTTrRSGFFC2fK85NRdABwUasUA8EUaiuLiGa6wYtv5aoR8BmjYsDmTx9DQbfRX -p x
我一直试图杀死我在/ tmp文件夹中找到的进程和文件,但仍然会重新创建具有不同名称的文件并重新启动该进程。
我放弃INPUT&在IPTABLES中输出xmr.crypto-pool.fr
现在这对服务器来说很烦人。
伙计们请帮帮忙!
答案 0 :(得分:0)
您的服务器似乎被黑客攻击或感染了Miner恶意软件(恶意软件使用您的系统挖掘加密货币[Monero,在这种情况下])。
寻找任何可疑的过程/ Cronjob。
答案 1 :(得分:0)
我今天才意识到我的服务器也被感染了。我的过程不是/ tmp / autox,而是./http.conf的一个实例(不是开头的./)。当我看到这些时,发现了这个:
* * * * * /tmp/.-/update >/dev/null 2>&1
然后我从我的crons中删除了该行,然后前往/tmp/.-/,其中恶意软件确实是选址。
作为临时修复,我在该文件夹中找到的每个脚本的顶部添加了exit语句。我不想删除它,因为我想调查一下。
我还删除了.ssh/authorized_keys中添加的所有密钥。
现在,当杀死进程时,它不会重新开始。
如果我发现其他任何内容,我会更新我的答案。