私のサーバーはハッキングされましたか?

私のサーバーはハッキングされましたか?

過去数日間、私のサーバーのCPU使用率が高いことを確認し、プロセスを確認しました。次の2つのプロセスがCPU使用率を消費しているようです。

30741 www-data  20   0   89556  10264      4 S 213.6  0.1  26636:45 /tmp/sshm -c /tmp/.u
18575 www-data  20   0  725948  10244     56 S 212.3  0.1   6608:57 /tmp/.FILE/stak/ld-linux-x86-64.so.2 --library-path /tmp/.FILE/stak /tmp/.FILE/stak/xmrig -o 195.22.126.117:443 -u 45ENzNUptUrV8nLM2Cwwwb1r98M7ZPocmdsmg1SKWAL6b8DJQcU3+

私のサーバーがハッキングされているか、他の場所で読んだかのように暗号通貨の採掘に使用されていますか?この状況ではどうすればよいですか?

どんな助けやサポートにも本当に感謝します。ありがとうございます!

答え1

投稿した出力を見ると、暗号通貨採掘機がxmrig稼働していることがわかります。プロセスを開始する意図がない場合は、十分なアクセス権を持つ人がプロセスを開始できます。

2つのプロセスを投稿しましたが、それぞれ疑わしいようです。

30741 www-data  20   0   89556  10264      4 S 213.6  0.1  26636:45 /tmp/sshm -c /tmp/.u

www-dataこれは/tmp/sshm引数を使用して実行可能ファイルを実行するプロセスです/tmp/.u。両方のファイルをスキャンして悪意があるかどうかを確認できるはずです。

18575 www-data  20   0  725948  10244     56 S 212.3  0.1   6608:57 /tmp/.FILE/stak/ld-linux-x86-64.so.2 --library-path /tmp/.FILE/stak /tmp/.FILE/stak/xmrig -o 195.22.126.117:443 -u 45ENzNUptUrV8nLM2Cwwwb1r98M7ZPocmdsmg1SKWAL6b8DJQcU3+

これはwww-data暗号通貨採掘者である所有されている別のプロセスです。に独自にインストールされました/tmp/.FILE。インストールして実行しないと、どこかで悪用される可能性があります。

これらのプロセスが悪意のある場合は、そのプロセスを終了して実行を停止する必要があります。その後、これらの悪意のあるファイルのエントリポイントを見つける必要があります。に属するため、www-dataこのサーバー(おそらくWebサーバーまたはアプリケーション)でこれらのファイルを作成して実行できる正当なプロセスがそのユーザーとして実行されている可能性があります。

そのエントリポイントを見つけて、できるだけ早く修正する必要があります。そうしないと、悪意のあるファイルが再表示される可能性があります。ログファイルを見ると役に立ちます。www-dataユーザーができることがあることを確認してください。 Webサーバーおよび/またはWebアプリケーションがこれらのファイルのインストールおよび実行を許可していないことを再確認してください。

この種の問題を軽減するために、私が見たサーバー強化ステップの1つは次のとおりです。/tmpまったく実行できません。mount -o noexec,remount /tmp

関連情報