Ubuntu 随机命令占用 100% 的 CPU 使用率
Ubuntu random command eats up 100% cup usage
我已经在云中设置了一个 ubuntu 服务器。最近我收到一条警报,告诉我服务器的 CPU 使用率始终为 100%。我试图调查这起事件,但我不知道发生了什么。我希望有人能根据我的发现为我指出正确的方向。
这是我能找到的:
随机命令:我运行"htop"检查哪个进程是
消耗我的 cpu 资源。我发现一个随机命令(名为 "tbq",如
你可以在 pic) 中看到 "root" 继续消耗我的 cpu
资源。我试图用 "kill -9 pid" 杀死它,但它又复活了
立即使用不同的随机命令。我只能阻止
使用 "kill -STOP pid".
精灵文件:
然后我检查我的服务器的系统日志,我发现以下命令保持 运行ning by "cron":
CMD (cd /usr/share/nginx/html/drupal-dev/sites/default/files;./share)
我导航到该目录,有一些随机名称但内容相同的奇怪文件。我用"nano"打开文件,以下是文件的前几行:
7f45 4c46 0201 0103 0000 0000 0000 0000
0200 3e00 0100 0000 9008 4000 0000 0000
4000 0000 0000 0000 28c6 3f00 0000 0000
0000 0000 4000 3800 0600 4000 2100 1e00
上网查了一下,这应该是一个ELF文件。虽然,我不明白这个 ELF 文件里面发生了什么
- Drupalgeddon2:
我意识到该文件位于 "drupal-dev" 下,我也在 google 中使用关键字 "drupal, elf" 进行了搜索。我发现了这个 post。
drupal内部好像有一个安全漏洞,黑客可以利用它来劫持我的服务器,将我的服务器资源作为一个节点来挖加密货币。
问题:
我不确定 "Drupalgeddon2" 是否属于我的情况。有人可以指出我正确的方向以进行更深入的调查吗?
使用管理员帐户导航至“管理菜单 > 报告 > 可用更新”或者您可以直接转到 www.yourwebsitename.com /admin/reports/updates 使用浏览器的地址栏。
- 如果您使用的是 Drupal 7,则您的 Drupal 核心版本需要为
最少 7.58
- 如果您使用的是 Drupal 8,则您的 Drupal 核心版本需要为
至少 8.5.1
如果您使用的是以下版本,您可以确定您的服务器已被 Drupalgeddon2 漏洞利用。
当我遇到和你一样的情况时,我只是从服务器上下载了数据库和 Drupal 源代码,更新了 Drupal 核心并将源代码和数据库上传到另一台服务器。
这解决了我的问题
这可能不仅仅是 Drupal。
它更像是在安装任何东西(例如网络服务器、数据库服务器或 Drupal)之前保护服务器并加固它。
我会花时间检查这个清单来清理它然后锁定它。
先处理服务器
https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
然后处理Drupal
https://www.drupal.org/docs/develop/security/your-drupal-site-got-hacked-now-what
我已经在云中设置了一个 ubuntu 服务器。最近我收到一条警报,告诉我服务器的 CPU 使用率始终为 100%。我试图调查这起事件,但我不知道发生了什么。我希望有人能根据我的发现为我指出正确的方向。
这是我能找到的:
随机命令:我运行"htop"检查哪个进程是 消耗我的 cpu 资源。我发现一个随机命令(名为 "tbq",如 你可以在 pic) 中看到 "root" 继续消耗我的 cpu 资源。我试图用 "kill -9 pid" 杀死它,但它又复活了 立即使用不同的随机命令。我只能阻止 使用 "kill -STOP pid".
处理
精灵文件: 然后我检查我的服务器的系统日志,我发现以下命令保持 运行ning by "cron":
CMD (cd /usr/share/nginx/html/drupal-dev/sites/default/files;./share)
我导航到该目录,有一些随机名称但内容相同的奇怪文件。我用"nano"打开文件,以下是文件的前几行:
7f45 4c46 0201 0103 0000 0000 0000 0000
0200 3e00 0100 0000 9008 4000 0000 0000
4000 0000 0000 0000 28c6 3f00 0000 0000
0000 0000 4000 3800 0600 4000 2100 1e00
上网查了一下,这应该是一个ELF文件。虽然,我不明白这个 ELF 文件里面发生了什么
- Drupalgeddon2: 我意识到该文件位于 "drupal-dev" 下,我也在 google 中使用关键字 "drupal, elf" 进行了搜索。我发现了这个 post。
drupal内部好像有一个安全漏洞,黑客可以利用它来劫持我的服务器,将我的服务器资源作为一个节点来挖加密货币。
问题: 我不确定 "Drupalgeddon2" 是否属于我的情况。有人可以指出我正确的方向以进行更深入的调查吗?
使用管理员帐户导航至“管理菜单 > 报告 > 可用更新”或者您可以直接转到 www.yourwebsitename.com /admin/reports/updates 使用浏览器的地址栏。
- 如果您使用的是 Drupal 7,则您的 Drupal 核心版本需要为 最少 7.58
- 如果您使用的是 Drupal 8,则您的 Drupal 核心版本需要为 至少 8.5.1
如果您使用的是以下版本,您可以确定您的服务器已被 Drupalgeddon2 漏洞利用。
当我遇到和你一样的情况时,我只是从服务器上下载了数据库和 Drupal 源代码,更新了 Drupal 核心并将源代码和数据库上传到另一台服务器。
这解决了我的问题
这可能不仅仅是 Drupal。 它更像是在安装任何东西(例如网络服务器、数据库服务器或 Drupal)之前保护服务器并加固它。
我会花时间检查这个清单来清理它然后锁定它。
先处理服务器
https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
然后处理Drupal
https://www.drupal.org/docs/develop/security/your-drupal-site-got-hacked-now-what