我遇到用户Postgres运行的奇怪进程的问题:
我曾尝试在htop(SIGTERM)中杀死它,但它立即重启。它只在我删除执行文件/ tmp / suhahoi时停止。
但是第二天,这个奇怪的文件被自动创建并再次运行。以下是谷歌云显示高CPU使用率的图表:
有谁知道它是什么以及如何防止这种情况发生? 谢谢!
答案 0 :(得分:2)
您的服务器似乎被黑了。它似乎正在下载并运行一个名为suhahoi的可执行文件。
htop命令显示给予此可执行文件的参数。参数似乎是base64编码的。您可以尝试base64解码参数。
我建议你安装一个反病毒脚本,如ClamAV,以及反恶意软件脚本,如rkhunter。如果这不能解决您的问题,那么您应该重新安装服务器。
答案 1 :(得分:0)
我也有过类似的经历。有人通过 postgres db 进入您的服务器。
如果您进入 /var/lib/postgresql/
并使用 ls -lah
检查文件夹的内容,您可能会看到包含一些 bash 脚本的奇怪且可疑的隐藏文件夹。 bash 脚本的内容可能是 base64
编码的。
就我而言,我发现有人通过我的虚拟服务器挖掘门罗币。
我是如何修复它的: