在过去的几天里,我一直在我们的一台服务器中观察到奇怪的进程。大多数时候我会看到多个可执行文件实例10,有时4 会占用大量 CPU 资源。当检查这个时,我发现该进程是在使用可执行文件启动进程后立即由 cron 启动的cpu_hu。这显然对我的系统来说是陌生的,简单的搜索没有解决任何问题。
然后检查cpu_hu进程,检查 exe 位置,然后相应地删除(图像中的位置指向我们团队正在开发的一个小项目的 venv)
即使我删除了二进制文件,重新启动后它也会出现在不同的位置
和可执行文件10,4从内存启动(没有物理可执行位置)
我cpu_hu从系统的所有位置删除了二进制文件,停止了进程并重新启动,但一段时间后cpu_hu二进制文件出现在其他地方。现在我已经停止了 crond 并杀死了相应的进程。这似乎阻止了这个过程再次开始。
此时我很确定它是恶意的。我怎样才能摆脱这个问题,或者更确切地说找到这个恶意软件的起点以防止它启动。