我的 debian 中有一些恶意软件或黑客入侵。我看到顶部的进程占用了 300% 的处理器负载。我如何检查哪个脚本或哪个用户一遍又一遍地创建此文件,我可以终止此进程,但在接下来的 30 分钟内此进程将更新。
这个过程是:/tmp/phpmnE0Ib_jhikt717dscrcw6b -c 2 -M stratum+tcp://4AE9fi43498hg 938hg....3o4ijf3ioEI0:x@monerohash.com:3333/xmr
这个过程的用户是我的 apache (www-data)。
最佳答案
没有确定或简单的方法可以找到导致此问题的原因。更糟糕的是,如果您确实找到了继续运行此脚本的原因,并解决了眼前的问题,您仍然不能确定 1) 他们进入的“洞”是否已被堵上,以及 2) 他们还没有安装一个 rootkit 或后门,他们可以在以后重新进入。
最好的建议是:
- 关闭受感染的系统
- 快照/保留其文件系统。
- 使用已知的安全系统对受感染的文件系统进行取证检查。您应该寻找证据来识别导致危害的漏洞(或不良安全实践!!)。
- 一旦您确定了问题的原因:
- 从已知干净的基础镜像(例如安装光盘)和从已知获得的所有软件的最新副本构建系统的新版本> 清洁来源。
- 从已知干净的备份恢复文件和数据库状态;即在妥协之前采取。
尝试“清除”受感染的系统是不明智的。除非你在取证安全方面非常熟练并且非常勤奋,否则你永远无法确定你已经摆脱了坏人可能留下的隐藏后门等。黑客专家擅长隐藏他们的踪迹……并引导错误的踪迹/错误的线索,让你认为你已经弄明白了。
关于linux - 检查哪个脚本在/tmp 中创建文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45817160/