지난 며칠 동안 내 서버의 CPU 사용량이 높은 것을 확인하고 프로세스를 확인했습니다. 다음 두 프로세스가 CPU 사용량을 소비하고 있는 것 같습니다.
30741 www-data 20 0 89556 10264 4 S 213.6 0.1 26636:45 /tmp/sshm -c /tmp/.u
18575 www-data 20 0 725948 10244 56 S 212.3 0.1 6608:57 /tmp/.FILE/stak/ld-linux-x86-64.so.2 --library-path /tmp/.FILE/stak /tmp/.FILE/stak/xmrig -o 195.22.126.117:443 -u 45ENzNUptUrV8nLM2Cwwwb1r98M7ZPocmdsmg1SKWAL6b8DJQcU3+
내 서버가 해킹되었거나 다른 곳에서 읽은 것처럼 암호화폐 채굴에 사용되었습니까? 이 상황에서는 어떻게 해야 합니까?
어떤 도움이나 지원이라도 정말 감사하겠습니다. 감사합니다!
답변1
게시한 출력을 보면 암호화폐 채굴기가 xmrig실행 중인 것을 알 수 있습니다. 프로세스를 시작할 의도가 없다면 충분한 액세스 권한이 있는 사람이 프로세스를 시작할 수 있습니다.
두 개의 프로세스를 게시했는데 각각 의심스러워 보입니다.
30741 www-data 20 0 89556 10264 4 S 213.6 0.1 26636:45 /tmp/sshm -c /tmp/.u
www-data이는 /tmp/sshm인수를 사용하여 실행 파일을 실행하는 프로세스 입니다 /tmp/.u. 두 파일을 모두 검사하여 악성인지 확인할 수 있어야 합니다.
18575 www-data 20 0 725948 10244 56 S 212.3 0.1 6608:57 /tmp/.FILE/stak/ld-linux-x86-64.so.2 --library-path /tmp/.FILE/stak /tmp/.FILE/stak/xmrig -o 195.22.126.117:443 -u 45ENzNUptUrV8nLM2Cwwwb1r98M7ZPocmdsmg1SKWAL6b8DJQcU3+
이것은 www-data암호화폐 채굴자인 소유된 또 다른 프로세스입니다. 에 자체적으로 설치되었습니다 /tmp/.FILE. 설치하여 실행하지 않으면 어딘가에서 악용될 수 있습니다.
이러한 프로세스가 악의적인 경우 해당 프로세스를 종료하여 실행을 중지해야 합니다. 그런 다음 이러한 악성 파일의 진입점을 찾아야 합니다. 에 속하므로 www-data이 서버(아마도 웹 서버 또는 애플리케이션)에서 이러한 파일을 생성하고 실행할 수 있는 합법적인 프로세스가 해당 사용자로 실행되고 있을 가능성이 높습니다.
해당 진입점을 찾아 최대한 빨리 수정해야 합니다. 그렇지 않으면 악성 파일이 다시 나타날 수 있습니다. 로그 파일을 보면 도움이 될 것입니다. www-data사용자가 수행할 수 있는 작업이 있는지 확인하세요 . 웹 서버 및/또는 웹 애플리케이션이 이러한 파일의 설치 및 실행을 허용하지 않는지 다시 확인하세요.
이러한 유형의 문제를 완화하기 위해 제가 본 서버 강화 단계 중 하나는 다음과 같습니다./tmp전혀 실행이 허용되지 않습니다.: mount -o noexec,remount /tmp.