我一直发现我的服务器的 CPU 使用率为 100%,这是一个名称不明确的进程,它隐藏在根目录下运行的 /etc/ 文件夹中的某个位置(总是不同的文件夹)。当我第一次找到它时,我查了一下并确认它是一个矿工,使用它杀死了进程kill -9 PID并删除了该文件夹。但我又找到了两次并决定再次删除它,但也更改了我用来 ssh 到服务器的帐户的密码,也更改了 root 的密码,但我又找到了。
有没有办法我可以识别文件夹是如何到达那里的,因为我的服务器上必须有一些东西会定期检查这些文件,如果它没有找到它们下载或再次提取它们。
矿工将流量发送到以下地址:ip162.ip-5-135-85.eu,属于https://aeon.miner.rocks/
请考虑重新安装服务器。
检查以下地方:
crontab -l使用后sudo -sucrontab -l与您的管理员用户/etc/rc.local和/etc/apt/sources.list目录
对于您不认识的服务。
这些将是罪魁祸首。
aeon-stak-cpuzeck
/bin/为aeon-stak-cpu.做一个
locate aeon。这可能会弹出更多目录。我找不到恶意软件。aeon 是从命令行安装的,所以我希望有人连接到您的机器。
所以我终于找到了它的底部。
首先,我让 nginx 以 root 身份运行,这可能是最初的入口点。Clamscan 发现并标记了一个隐藏在 /var/www 中的名为 info.php 的文件,这可能是他们最初获得访问权限的方式。
我一直看到 root@notty 的 ssh 进程,一开始我不知道 notty 是什么意思,当我查看 netstat 时,它绝对不是我的任何会话。但是我一直在将密码更改为完全随机的密码,所以他们不可能知道密码。我决定查看我所有用户的 /home/[user]/.ssh 文件夹,并在 authorized_keys 文件中找到了相同的 ssh 密钥。
我删除了密钥,还更改了 nginx 的用户,从那时起我没有遇到任何问题。