Ubuntuから監査ログを削除する方法は?

Ubuntuから監査ログを削除する方法は?

auditlog私のUbunut 18.04サーバーはCPUの約100%を消費するコマンドを実行しています。 PIDを探すプロセスを終了すると、1日程度は正常に動作し、再び実行され、CPUを消費します。

一度インストールしました。メールサーバー私のコンピュータでは後で削除しましたが、監査ログの原因ではないかと思いますが、追跡ができません。

このサービスを削除するのに役立ちます。

root     11710 87.7  0.2 715092  4684 ?        Ssl  Apr14 1709:42 auditlog
ubuntu   12059  0.0  0.0  14428  1004 pts/0    S+   10:47   0:00 grep --color=auto auditlog

コマンド出力:cat /proc/9499/cmdlineはい監査ログ

そしてls -lF /proc/9499/fd/出力:

lr-x------ 1 root root 64 Apr 20 11:29 0 -> /dev/null
l-wx------ 1 root root 64 Apr 20 11:29 1 -> 'pipe:[7363932]'
lrwx------ 1 root root 64 Apr 20 11:29 10 -> 'anon_inode:[eventfd]'
lr-x------ 1 root root 64 Apr 20 11:29 11 -> /dev/null
lrwx------ 1 root root 64 Apr 20 11:29 12 -> 'socket:[7417752]'
l-wx------ 1 root root 64 Apr 20 11:29 2 -> 'pipe:[7363933]'
lrwx------ 1 root root 64 Apr 20 11:29 3 -> 'anon_inode:[eventpoll]'
lr-x------ 1 root root 64 Apr 20 11:29 4 -> 'pipe:[7363997]'
l-wx------ 1 root root 64 Apr 20 11:29 5 -> 'pipe:[7363997]'
lr-x------ 1 root root 64 Apr 20 11:29 6 -> 'pipe:[7363996]'
l-wx------ 1 root root 64 Apr 20 11:29 7 -> 'pipe:[7363996]'
lrwx------ 1 root root 64 Apr 20 11:29 8 -> 'anon_inode:[eventfd]'
lrwx------ 1 root root 64 Apr 20 11:29 9 -> 'anon_inode:[eventfd]'

そして命令は何も見つかりませんでしたgrep -s -i auditlog /etc/cron* /etc/cron*/*

答え1

私も同じ状況ですが、暗号通貨採掘ウイルスとは言えません。

サーバーが破損している可能性があるため、最も安全な対策は再構築することです。

編集する:

私はこれをどのように決定するかを尋ねました。

netstatここで、アウトバウンド接続を一覧表示するのと同様のコマンドを実行しましたnetstat -antup。 "auditlog"プロセスがサーバーにアウトバウンド要求を送信していることがわかりました。static.88-99-193-240.clients.your-server.de

グーグルしてアドレスを探してみるとこんなページが出ましたね。 https://www.programmerought.com/article/54726926874/これは私の質問を完全に反映しており、著者はこの暗号通貨採掘ボットについて優れた分析を行いました。役に立つ詳細がたくさんあります。

また、(どこかわからない)サーバーが再び破損する可能性があるため、サーバーを再構築することをお勧めします。

関連情報