auditlog
私のUbunut 18.04サーバーはCPUの約100%を消費するコマンドを実行しています。 PIDを探すプロセスを終了すると、1日程度は正常に動作し、再び実行され、CPUを消費します。
一度インストールしました。メールサーバー私のコンピュータでは後で削除しましたが、監査ログの原因ではないかと思いますが、追跡ができません。
このサービスを削除するのに役立ちます。
root 11710 87.7 0.2 715092 4684 ? Ssl Apr14 1709:42 auditlog
ubuntu 12059 0.0 0.0 14428 1004 pts/0 S+ 10:47 0:00 grep --color=auto auditlog
コマンド出力:cat /proc/9499/cmdline
はい監査ログ
そしてls -lF /proc/9499/fd/
出力:
lr-x------ 1 root root 64 Apr 20 11:29 0 -> /dev/null
l-wx------ 1 root root 64 Apr 20 11:29 1 -> 'pipe:[7363932]'
lrwx------ 1 root root 64 Apr 20 11:29 10 -> 'anon_inode:[eventfd]'
lr-x------ 1 root root 64 Apr 20 11:29 11 -> /dev/null
lrwx------ 1 root root 64 Apr 20 11:29 12 -> 'socket:[7417752]'
l-wx------ 1 root root 64 Apr 20 11:29 2 -> 'pipe:[7363933]'
lrwx------ 1 root root 64 Apr 20 11:29 3 -> 'anon_inode:[eventpoll]'
lr-x------ 1 root root 64 Apr 20 11:29 4 -> 'pipe:[7363997]'
l-wx------ 1 root root 64 Apr 20 11:29 5 -> 'pipe:[7363997]'
lr-x------ 1 root root 64 Apr 20 11:29 6 -> 'pipe:[7363996]'
l-wx------ 1 root root 64 Apr 20 11:29 7 -> 'pipe:[7363996]'
lrwx------ 1 root root 64 Apr 20 11:29 8 -> 'anon_inode:[eventfd]'
lrwx------ 1 root root 64 Apr 20 11:29 9 -> 'anon_inode:[eventfd]'
そして命令は何も見つかりませんでしたgrep -s -i auditlog /etc/cron* /etc/cron*/*
答え1
私も同じ状況ですが、暗号通貨採掘ウイルスとは言えません。
サーバーが破損している可能性があるため、最も安全な対策は再構築することです。
編集する:
私はこれをどのように決定するかを尋ねました。
netstat
ここで、アウトバウンド接続を一覧表示するのと同様のコマンドを実行しましたnetstat -antup
。 "auditlog"プロセスがサーバーにアウトバウンド要求を送信していることがわかりました。static.88-99-193-240.clients.your-server.de
グーグルしてアドレスを探してみるとこんなページが出ましたね。 https://www.programmerought.com/article/54726926874/これは私の質問を完全に反映しており、著者はこの暗号通貨採掘ボットについて優れた分析を行いました。役に立つ詳細がたくさんあります。
また、(どこかわからない)サーバーが再び破損する可能性があるため、サーバーを再構築することをお勧めします。