web-dev-qa-db-ja.com

サーバーがハッキングされていますか?

最近数日間、サーバーのCPU使用率が高いことに気づき、プロセスを確認しました。以下の2つのプロセスがCPU使用率を消費しているようです:

30741 www-data  20   0   89556  10264      4 S 213.6  0.1  26636:45 /tmp/sshm -c /tmp/.u
18575 www-data  20   0  725948  10244     56 S 212.3  0.1   6608:57 /tmp/.FILE/stak/ld-linux-x86-64.so.2 --library-path /tmp/.FILE/stak /tmp/.FILE/stak/xmrig -o 195.22.126.117:443 -u 45ENzNUptUrV8nLM2Cwwwb1r98M7ZPocmdsmg1SKWAL6b8DJQcU3+

私のサーバーはハッキングされていますか、それとも他の場所で読んでいるように、暗号通貨マイニングに使用されていますか?この状況ではどうすればよいですか?

私は本当に助け/サポートをいただければ幸いです。ありがとうございました!

2
Vu Hoang

投稿された出力を見るだけで、暗号通貨マイナーxmrigが実行されていることがわかります。そのプロセスを起動するつもりがなかった場合は、十分なアクセス権を持つ人が実行できました。

2つのプロセスを投稿しましたが、それぞれが非常に疑わしいようです。

30741 www-data  20   0   89556  10264      4 S 213.6  0.1  26636:45 /tmp/sshm -c /tmp/.u

これは、実行可能ファイルwww-dataを引数/tmp/sshmで実行する/tmp/.uが所有するプロセスです。これらの2つのファイルを調べて、悪意のあるものかどうかを判断できるはずです。

18575 www-data  20   0  725948  10244     56 S 212.3  0.1   6608:57 /tmp/.FILE/stak/ld-linux-x86-64.so.2 --library-path /tmp/.FILE/stak /tmp/.FILE/stak/xmrig -o 195.22.126.117:443 -u 45ENzNUptUrV8nLM2Cwwwb1r98M7ZPocmdsmg1SKWAL6b8DJQcU3+

これはwww-dataが所有する別のプロセスであり、これは暗号通貨マイナーです。 /tmp/.FILEにインストールされています。これをインストールして実行しなかった場合は、おそらくどこかで悪用されています。

これらのプロセスが悪意のあるものである場合は、それらを強制終了して実行を停止する必要があります。次に、これらの悪意のあるファイルのエントリポイントを探します。これらのファイルはwww-dataが所有しているため、おそらくこのサーバー上で実行されている正当なプロセス(おそらくWebサーバーまたはアプリケーション)があり、これらのファイルの作成と実行が可能です。

できるだけ早くそのエントリポイントを見つけて修正する必要があります。そうしないと、悪意のあるファイルがおそらく再び戻ってくるだけです。ログファイルを確認すると役立ちます。 www-dataユーザーが実行できることを必ず確認してください。 WebサーバーやWebアプリケーションを再確認して、これらのファイルのインストールと実行が許可されていないことを確認してください。

この種の問題を軽減するために私が見たサーバー強化のステップの1つは、 /tmpからのexecをまったく許可しないmount -o noexec,remount /tmpです。

3
GracefulRestart