我遇到了用户 Postgres 运行的奇怪进程的问题:
我曾尝试在 htop (SIGTERM) 中杀死它,但它立即重新启动。当我删除执行文件 /tmp/suhahoi 时它才停止。
但是第二天,这个奇怪的文件就自动创建并再次运行了。下面是来自谷歌云的图表,显示了高 CPU 使用率:
有谁知道它是什么以及如何防止这种情况发生? 谢谢!
【问题讨论】:
标签: ubuntu-14.04 google-cloud-platform postgresql-9.3
您的服务器似乎被黑了。它似乎正在下载并运行一个名为 suhahoi 的可执行文件。
htop 命令显示给这个可执行文件的参数。参数似乎是 base64 编码的。您可以尝试对参数进行 base64 解码。
我建议您安装诸如 ClamAV 之类的防病毒脚本以及诸如 rkhunter 之类的防恶意软件脚本。如果这不能解决您的问题,那么您应该重新安装您的服务器。
【讨论】:
我也有类似的经历。有人通过 postgres db 进入了您的服务器。
如果您进入 /var/lib/postgresql/ 并使用 ls -lah 检查文件夹的内容,您可能会看到包含一些 bash 脚本的奇怪且可疑的隐藏文件夹。 bash 脚本的内容可能是base64 编码的。
就我而言,我发现有人一直在通过我的虚拟服务器挖掘门罗币。
我是如何解决的:
【讨论】: