私はhtopを調べるのに時間を費やし、rootユーザーが短時間に一連の奇妙なプロセス/コマンドを実行したことを発見しました。以下は、htopに表示されるコマンドの完全なリストではありません。このDebianサーバーでは、TomcatとMySQLのみが実行されています。
ifconfig eth 0
ps -ef
bash
uptime
top
netstat -antop
pwd
echo "find"
gnome-terminal
whoami
sleep 1
id
su
cd /etc
今はそれが悪いようではありませんか?
これらのプロセスを終了すると、常にランダムな文字列を含む新しいプロセスがすぐに作成されます。
ベストアンサー1
これはマルウェアのように見えますが、それ自体をうまく隠していません。注意深く書かれたマルウェアはカーネルを感染させ、タスクリストから完全に隠す準備をします。これは厄介に無害なかのように迷彩ですuptimeが、正しく行われておらず、uptimeそれほど長く実行されていないので、とにかく疑わしいです。
悪意のあるコードであることを確認した場合はお読みください感染したサーバーを処理する方法は?
システムを再インストールする必要があります。マルウェアが侵入しているようですが、削除できるかどうかはわかりません。一部は隠されている方が良いかもしれません。
再インストールする前に、マルウェアがどのようにそこに到達したかを調べてください。間違ったソースからプログラムをインストールしましたか?インストールしたプログラムに既知のセキュリティ脆弱性がありますか?ログ、ファイルの日付、コマンド履歴などを確認してください。
再インストールするときは、きれいなソースからすべてのソフトウェアを入手してください。プロバイダのHTTPSウェブサイトのチェックサムと比較して、インストールメディアのチェックサムを確認します。可能であれば、ディストリビューションのソフトウェアに固執し、チェックサムチェックを実行してください(Debianではデフォルト)。信頼できないソースのバイナリに分散バイナリ権限を付与します。インターネット接続サービスを有効にする前に、すべてのセキュリティ更新プログラムが適用されていることを確認してください。非distroソフトウェアをインストールする必要がある場合は、信頼できるソースからそのソフトウェアを検索し、既知のセキュリティ脆弱性のない最新バージョンをダウンロードして、できるだけ少ない権限を付与してください。強力なパスワードを使用してください(必要に応じてセキュリティゾーンで作業している場合は、モニターの横の付箋にパスワードを書き留めます)。