我在云中设置了一个ubuntu服务器。最近我收到一条警告,告诉我服务器的CPU使用率始终为100%。我试图调查这一事件,但我不知道发生了什么。我希望有人可以根据我的发现指出正确的方向。
以下是我能找到的内容:
随机命令:我运行“htop”来检查哪个进程 消耗我的cpu资源。我发现了一个随机命令(名为“tbq”,如 你可以在pic中看到“root”继续消耗我的cpu 资源。我试图用“kill -9 pid”来杀死它,但它恢复了 立即使用不同的随机命令。我只能阻止了 使用“kill -STOP pid”进行处理。
精灵档案 然后我检查我的服务器的syslog,我发现以下命令一直由“cron”运行:
CMD(cd / usr / share / nginx / html / drupal-dev / sites / default / files; ./ share)
我导航到该目录,有一些奇怪的文件具有随机名称但具有相同的内容。我用“nano”打开文件,以下是文件的前几行:
7f45 4c46 0201 0103 0000 0000 0000 0000
0200 3e00 0100 0000 9008 4000 0000 0000
4000 0000 0000 0000 28c6 3f00 0000 0000
0000 0000 4000 3800 0600 4000 2100 1e00
我在互联网上搜索并知道这应该是一个ELF文件。虽然,我不明白这个ELF文件里面发生了什么
似乎drupal中有一个安全漏洞,黑客可以利用它来劫持我的服务器,并使用我的服务器资源作为挖掘加密货币的节点。
问题: 我不确定“Drupalgeddon2”是否属于我的情况。有人能指出我正确的方向进行更深入的调查吗?
答案 0 :(得分:0)
使用管理员帐户导航至“管理菜单>报告>可用更新”,或者您可以转到 www.yourwebsitename.com / admin /报告/更新使用浏览器的地址栏。
如果您使用的是以下版本,则可以确保使用 Drupalgeddon2 漏洞利用您的服务器。
当我和你刚刚从我下载数据库和Drupal源代码形成服务器时,更新了Drupal核心并将源代码和数据库上传到另一台服务器。
这解决了我的问题
答案 1 :(得分:0)
这可能不仅仅是Drupal。 在安装Web服务器,数据库服务器或Drupal之类的任何东西之前,它更像是保护服务器并加强它。
我会花时间通过这个检查清单来清理它然后锁定它。
首先处理服务器
https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
然后处理Drupal
https://www.drupal.org/docs/develop/security/your-drupal-site-got-hacked-now-what