Я установил сервер Ubuntu в облаке.Недавно я получил предупреждение о том, что загрузка процессора моим сервером всегда составляет 100%.Я пытался расследовать инцидент, но понятия не имею, что происходит.Я надеюсь, что кто-то может указать мне правильное направление на основе того, что я нашел.
Вот что я могу найти:
Случайная команда : я запускаю "htop", чтобы проверить, какой процесс потребляет мой ресурс процессора.Я обнаружил, что случайная команда (с именем «tbq», как вы можете видеть в pic ) от «root» продолжает использовать мой ресурс процессора.Я пытался убить его с помощью «kill -9 pid», но он мгновенно оживает другой случайной командой.Я могу остановить процесс только с помощью «kill -STOP pid».
elf file: Затем я проверяю системный журнал моего сервера и обнаружил, что следующая команда"cron" продолжает работать:
CMD (cd /usr/share/nginx/html/drupal-dev/sites/default/files;./share)
Я перехожу в каталог, там немного странных файлов со случайным именем, но с одинаковым содержанием.Я открываю файл с помощью «nano», следующие несколько первых строк файла:
7f45 4c46 0201 0103 0000 0000 0000 0000
0200 3e00 0100 0000 9008 4000 0000 0000
4000 0000 0000 0000 28c6 3f00 0000 0000
0000 0000 4000 3800 0600 4000 2100 1e00
Я ищу в Интернете и знаю, что это должен быть файл ELF.Хотя я не понимаю, что происходит внутри этого файла ELF
- Drupalgeddon2 : я понимаю, что файл находится в "drupal-dev", я также искал в Googleс ключевыми словами "друпал, эльф".И я нашел этот пост .
Кажется, что внутри drupal есть дыра в безопасности, которую хакеры могут использовать для взлома моего сервера и использования ресурса моего сервера в качестве узла для майнинга криптовалюты.
Вопрос: Я не уверен, является ли "Drupalgeddon2" моим случаем.Может ли кто-нибудь указать мне правильное направление для более глубокого расследования?