auditlog내 Ubunut 18.04 서버는 CPU의 약 100%를 소비하는 명령을 실행하고 있습니다 . PID를 찾는 프로세스를 종료하면 하루 정도는 정상적으로 작동한 다음 다시 실행되어 CPU를 소모합니다.
일단 설치했는데메일 서버제 컴퓨터에서는 나중에 삭제했는데, 감사 로그의 원인이 아닐까 싶은데 추적이 안 되네요.
이 서비스를 삭제하도록 도와주세요.
root 11710 87.7 0.2 715092 4684 ? Ssl Apr14 1709:42 auditlog
ubuntu 12059 0.0 0.0 14428 1004 pts/0 S+ 10:47 0:00 grep --color=auto auditlog
명령 출력: cat /proc/9499/cmdline예감사 로그
그리고 ls -lF /proc/9499/fd/출력:
lr-x------ 1 root root 64 Apr 20 11:29 0 -> /dev/null
l-wx------ 1 root root 64 Apr 20 11:29 1 -> 'pipe:[7363932]'
lrwx------ 1 root root 64 Apr 20 11:29 10 -> 'anon_inode:[eventfd]'
lr-x------ 1 root root 64 Apr 20 11:29 11 -> /dev/null
lrwx------ 1 root root 64 Apr 20 11:29 12 -> 'socket:[7417752]'
l-wx------ 1 root root 64 Apr 20 11:29 2 -> 'pipe:[7363933]'
lrwx------ 1 root root 64 Apr 20 11:29 3 -> 'anon_inode:[eventpoll]'
lr-x------ 1 root root 64 Apr 20 11:29 4 -> 'pipe:[7363997]'
l-wx------ 1 root root 64 Apr 20 11:29 5 -> 'pipe:[7363997]'
lr-x------ 1 root root 64 Apr 20 11:29 6 -> 'pipe:[7363996]'
l-wx------ 1 root root 64 Apr 20 11:29 7 -> 'pipe:[7363996]'
lrwx------ 1 root root 64 Apr 20 11:29 8 -> 'anon_inode:[eventfd]'
lrwx------ 1 root root 64 Apr 20 11:29 9 -> 'anon_inode:[eventfd]'
그리고 명령은 아무것도 찾지 못했습니다grep -s -i auditlog /etc/cron* /etc/cron*/*
답변1
저도 같은 상황인데 암호화폐 채굴 바이러스라고는 말할 수 없습니다.
서버가 손상되었을 수 있으므로 가장 안전한 조치는 다시 구축하는 것입니다.
편집하다:
나는 이것을 어떻게 결정하는지 질문을 받았습니다.
netstat여기에서 아웃바운드 연결을 나열하는 것과 유사한 명령을 실행했습니다 netstat -antup. "auditlog" 프로세스가 서버에 아웃바운드 요청을 보내고 있음을 발견했습니다.static.88-99-193-240.clients.your-server.de
구글링해서 주소를 찾아보니 이런 페이지가 나오더군요. https://www.programmerought.com/article/54726926874/이것은 내 질문을 완전히 반영하며 저자는 이 암호화폐 채굴 봇에 대해 훌륭한 분석을 수행했습니다. 도움이 될 수 있는 세부정보가 많이 있습니다.
또한 (어디인지는 모르겠습니다) 서버가 다시 손상될 수 있으므로 서버를 다시 구축하는 것이 좋습니다.