奇怪的进程运行导致高100%的CPU使用率

时间:2017-05-25 14:12:52

标签: ubuntu-14.04 google-cloud-platform postgresql-9.3

我遇到用户Postgres运行的奇怪进程的问题:

Htop showing

我曾尝试在htop(SIGTERM)中杀死它,但它立即重启。它只在我删除执行文件/ tmp / suhahoi时停止。

但是第二天,这个奇怪的文件被自动创建并再次运行。以下是谷歌云显示高CPU使用率的图表: Google cloud high CPU usage

有谁知道它是什么以及如何防止这种情况发生? 谢谢!

2 个答案:

答案 0 :(得分:2)

您的服务器似乎被黑了。它似乎正在下载并运行一个名为suhahoi的可执行文件。

htop命令显示给予此可执行文件的参数。参数似乎是base64编码的。您可以尝试base64解码参数。

我建议你安装一个反病毒脚本,如ClamAV,以及反恶意软件脚本,如rkhunter。如果这不能解决您的问题,那么您应该重新安装服务器。

答案 1 :(得分:0)

我也有过类似的经历。有人通过 postgres db 进入您的服务器。 如果您进入 /var/lib/postgresql/ 并使用 ls -lah 检查文件夹的内容,您可能会看到包含一些 bash 脚本的奇怪且可疑的隐藏文件夹。 bash 脚本的内容可能是 base64 编码的。 就我而言,我发现有人通过我的虚拟服务器挖掘门罗币。

我是如何修复它的:

  • 向公共关闭 5432 端口(使用 ssh 隧道)
  • 修改数据库用户的密码
  • 删除提到的 postgres 文件夹中的所有可疑脚本