uma vez a cada poucos dias. às vezes duas vezes por dia, um processo começa e consome 100% da CPU. O que pode ser?
/root/.x/static
clamscan disse que não é vírus. Tenho um servidor VPS no DigitalOcean com 2 GB de RAM, 2 núcleos. E instalei o cyberpanel com sites wordpress. Normalmente, ele usa no máximo 50% da CPU. Mas quando esse processo começa, ele ainda está 100%.
/root/.x/static: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, BuildID[sha1]=93921a7ed626d1ae5e6c5cfdb348432739394400, stripped
[
btop info, ltrace e objdump como fica? O que fazer. Obrigado pela resposta
Você tem um malware, que provavelmente é um minerador de criptomoedas ou talvez você agora faça parte de uma botnet. A impressão lsof/ltrace mostra que o processo está se conectando a um servidor web em 80.240.16.67 em execução em um vpc em vultr.com. Há um inotify, que monitora o sistema para alterações no sistema de arquivos. Como o processo começa aleatoriamente, ele é acionado por um timer systemd ou crontab ou é acionado remotamente
Para remover todo o diretório .x você pode executar
rm -rf /root/.xVocê pode substituí-lo por um executável vazio, o que pode ou não impedir que o executável reapareça. Ele neutralizará os efeitos se o invasor não tiver mais uma entrada remota no seu sistema
Você pode bloquear o tráfego para seus invasores adicionando uma regra de firewall à sub-rede vultr.
Cuidado, pois os invasores podem facilmente usar um provedor diferente e contornar seu bloqueio. Eles provavelmente entraram via wordpress ou um de seus plugins, que tem falhas de segurança constantes e precisa ser mantido atualizado.
Provavelmente é melhor reconstruir sua máquina virtual em uma instância diferente e remover a máquina virtual infectada, especialmente o servidor web litespeed voltado para a Internet. Então certifique-se de continuar instalando todas as correções de segurança com