У меня есть экземпляр Ubuntu на EC2 (t3.medium, Сервер Ubuntu 18.04 LTS), который использовал много ЦП. Их именами не является Googleable (просто случайные символы), и не дает ключа к разгадке на том, каковы они. Как я могу исследовать это? Присоединенный снимок экрана:
Я пытался уничтожить процессы, но после нескольких минут это будет повторяться. То же после перезапуска.
Поздравляю! Вы, хороший сэр, являетесь теперь владельцем зараженного сервера вредоносного программного обеспечения.
Это - вероятно, некоторый шахтер криптовалюты.
Обычно они имеют тенденцию делать запись в Вашем crontab.
Проверять crontab на ubuntu
пользователь, выполненный
sudo crontab -e -u ubuntu
Удалите любые неизвестные записи, но примите во внимание, где они указали.
После того, как Вы имеете updater Ваш crontab, уничтожаете все процессы и проверяете crontab снова. Затем удалите файлы, на которые ссылается использование crontab rm
.
Перезагрузка, и проверяет, что не вновь появляется. Найдите, что любая уязвимость использовалась, чтобы войти, и удостовериться, что все актуально и безопасно снова, иначе Вы будете повторно заражены в быстром порядке.
Я предложил бы не делать выше, а скорее уничтожить экземпляр и запустить новый.