每隔几天一次。有时一天两次启动一个进程,占用 100% 的 CPU。这可能是什么原因?
/root/.x/static
clamscan 说这不是病毒。我在 DigitalOcean 上安装了 2GB RAM、2 核的服务器 VPS。并安装了带有 wordpress 站点的 cyberpanel。通常它最多使用 50% 的 CPU。但是当此过程启动时,它仍然占用 100%。
/root/.x/static: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, BuildID[sha1]=93921a7ed626d1ae5e6c5cfdb348432739394400, stripped
[
btop info、ltrace 和 objdump 看起来怎么样?该怎么办。谢谢回复
您感染了恶意软件,它很可能是加密矿工,或者您现在可能是僵尸网络的一部分。 lsof/ltrace 打印输出显示该进程正在连接到在 vultr.com 的 vpc 上运行的 80.240.16.67 上的 Web 服务器。有一个 inotify,它监视系统中的文件系统更改。由于该进程是随机启动的,因此它要么由 systemd 计时器或 crontab 触发,要么由远程触发
要删除整个 .x 目录,您可以运行
rm -rf /root/.x您可以将其替换为一个空的可执行文件,这可能会或可能不会阻止可执行文件重新出现。如果攻击者不再能够远程进入您的系统,它将抵消影响
您可以通过向 vultr 子网添加防火墙规则来阻止攻击者的流量。
请注意,攻击者可以轻松使用其他提供商并绕过您的阻止。他们可能通过 wordpress 或其中一个插件进入,而 wordpress 存在持续的安全漏洞,需要保持最新状态。
您最好在不同的实例上重建虚拟机并删除受感染的虚拟机,尤其是面向互联网的 litespeed 网络服务器。然后确保您继续安装所有安全修复程序