%20hat%203%2C34.png)
Vor einiger Zeit wurde unsere Site gehackt und wir konnten sie erfolgreich wiederherstellen. Allerdings scheint es immer noch etwas Seltsames zu geben, das wir noch nicht losgeworden sind. Einmal pro Stunde wird ein Job gestartet, der viele CPU-Ressourcen verbraucht.
Ich habe einen im Hintergrund laufenden Job installiert, der Folgendes tut:
ps aux u
immer sys_getloadavg()wenn es höher als 0,4 wird. Wenn ich mir die Ausgabe anschaue, bin ich verwirrt, es gibt fast keine sichtbare CPU-Aktivität, obwohl sys_getloadavg() in diesem Beispiel einen Wert von 3,34 anzeigte. Die Serverantwort ist in der Tat extrem, wenn dies geschieht. Wie kann das erklärt werden?
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.4 225468 4356 ? Ss Nov07 0:29 /sbin/init
root 2 0.0 0.0 0 0 ? S Nov07 0:00 [kthreadd]
root 4 0.0 0.0 0 0 ? I< Nov07 0:00 [kworker/0:0H]
root 6 0.0 0.0 0 0 ? I< Nov07 0:00 [mm_percpu_wq]
root 7 0.0 0.0 0 0 ? S Nov07 1:14 [ksoftirqd/0]
root 8 0.0 0.0 0 0 ? I Nov07 2:01 [rcu_sched]
root 9 0.0 0.0 0 0 ? I Nov07 0:00 [rcu_bh]
root 10 0.0 0.0 0 0 ? S Nov07 0:00 [migration/0]
root 11 0.0 0.0 0 0 ? S Nov07 0:04 [watchdog/0]
root 12 0.0 0.0 0 0 ? S Nov07 0:00 [cpuhp/0]
root 13 0.0 0.0 0 0 ? S Nov07 0:00 [kdevtmpfs]
root 14 0.0 0.0 0 0 ? I< Nov07 0:00 [netns]
root 15 0.0 0.0 0 0 ? S Nov07 0:00 [rcu_tasks_kthre]
root 16 0.0 0.0 0 0 ? S Nov07 0:03 [kauditd]
root 17 0.0 0.0 0 0 ? S Nov07 0:00 [xenbus]
root 18 0.0 0.0 0 0 ? S Nov07 0:00 [xenwatch]
root 20 0.0 0.0 0 0 ? S Nov07 0:00 [khungtaskd]
root 21 0.0 0.0 0 0 ? S Nov07 0:05 [oom_reaper]
root 22 0.0 0.0 0 0 ? I< Nov07 0:00 [writeback]
root 23 0.0 0.0 0 0 ? S Nov07 0:00 [kcompactd0]
root 24 0.0 0.0 0 0 ? SN Nov07 0:00 [ksmd]
root 25 0.0 0.0 0 0 ? SN Nov07 6:07 [khugepaged]
root 26 0.0 0.0 0 0 ? I< Nov07 0:00 [crypto]
root 27 0.0 0.0 0 0 ? I< Nov07 0:00 [kintegrityd]
root 28 0.0 0.0 0 0 ? I< Nov07 0:00 [kblockd]
root 29 0.0 0.0 0 0 ? I< Nov07 0:00 [ata_sff]
root 30 0.0 0.0 0 0 ? I< Nov07 0:00 [md]
root 31 0.0 0.0 0 0 ? I< Nov07 0:00 [edac-poller]
root 32 0.0 0.0 0 0 ? I< Nov07 0:00 [devfreq_wq]
root 33 0.0 0.0 0 0 ? I< Nov07 0:00 [watchdogd]
root 36 0.0 0.0 0 0 ? S Nov07 1:51 [kswapd0]
root 37 0.0 0.0 0 0 ? I< Nov07 0:00 [kworker/u31:0]
root 38 0.0 0.0 0 0 ? S Nov07 0:00 [ecryptfs-kthrea]
root 80 0.0 0.0 0 0 ? I< Nov07 0:00 [kthrotld]
root 81 0.0 0.0 0 0 ? I< Nov07 0:00 [acpi_thermal_pm]
root 82 0.0 0.0 0 0 ? S Nov07 0:00 [scsi_eh_0]
root 83 0.0 0.0 0 0 ? I< Nov07 0:00 [scsi_tmf_0]
root 84 0.0 0.0 0 0 ? S Nov07 0:00 [scsi_eh_1]
root 85 0.0 0.0 0 0 ? I< Nov07 0:00 [scsi_tmf_1]
root 91 0.0 0.0 0 0 ? I< Nov07 0:00 [ipv6_addrconf]
root 100 0.0 0.0 0 0 ? I< Nov07 0:00 [kstrp]
root 101 0.0 0.0 0 0 ? I< Nov07 6:08 [kworker/0:1H]
root 118 0.0 0.0 0 0 ? I< Nov07 0:00 [charger_manager]
root 182 0.0 0.0 0 0 ? I< Nov07 0:00 [ttm_swap]
root 265 0.0 0.0 0 0 ? I< Nov07 0:00 [raid5wq]
root 317 0.0 0.0 0 0 ? S Nov07 6:36 [jbd2/xvda1-8]
root 318 0.0 0.0 0 0 ? I< Nov07 0:00 [ext4-rsv-conver]
root 401 0.0 0.0 0 0 ? I< Nov07 0:00 [iscsi_eh]
root 412 0.0 0.0 0 0 ? I< Nov07 0:00 [ib-comp-wq]
root 413 0.0 0.0 0 0 ? I< Nov07 0:00 [ib_mcast]
root 414 0.0 0.0 0 0 ? I< Nov07 0:00 [ib_nl_sa_wq]
root 420 0.0 0.0 0 0 ? I< Nov07 0:00 [rdma_cm]
root 421 0.0 3.0 421780 30768 ? S<s Nov07 2:57 /lib/systemd/systemd-journald
root 435 0.0 0.0 105900 840 ? Ss Nov07 0:00 /sbin/lvmetad -f
root 443 0.0 0.3 45064 3152 ? Ss Nov07 1:23 /lib/systemd/systemd-udevd
systemd+ 574 0.0 0.2 141924 2812 ? Ssl Nov07 0:01 /lib/systemd/systemd-timesyncd
root 586 0.0 0.0 31976 264 ? S<sl Nov07 0:10 /sbin/auditd
root 822 0.0 0.2 26016 2604 ? Ss Nov07 0:01 /sbin/dhclient -1 -4 -v -pf /run/dhclient.eth0.pid -lf /var/lib/dhcp/dhclient.eth0.leases -I -df /var/lib/dhcp/dhclient6.eth0.leases eth0
clamav 1017 0.0 0.7 152884 7884 ? Ss Nov07 11:36 /usr/bin/freshclam -d --foreground=true
root 1019 0.0 0.1 4520 1600 ? S< Nov07 0:23 /usr/sbin/atopacctd
root 1039 0.0 0.1 286464 1396 ? Ssl Nov07 0:39 /usr/lib/accountsservice/accounts-daemon
root 1045 0.0 0.2 30024 2396 ? Ss Nov07 0:50 /usr/sbin/cron -f
syslog 1049 0.0 0.1 267268 1892 ? Ssl Nov07 0:25 /usr/sbin/rsyslogd -n
root 1050 0.0 0.1 636120 1448 ? Ssl Nov07 0:04 /usr/bin/lxcfs /var/lib/lxcfs/
message+ 1060 0.0 0.2 50384 2940 ? Ss Nov07 0:06 /usr/bin/dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activation --syslog-only
root 1077 0.0 0.1 70640 1576 ? Ss Nov07 0:03 /lib/systemd/systemd-logind
daemon 1082 0.0 0.1 28328 1572 ? Ss Nov07 0:00 /usr/sbin/atd -f
root 1093 0.0 1.0 169092 10204 ? Ssl Nov07 0:00 /usr/bin/python3 /usr/bin/networkd-dispatcher --run-startup-triggers
root 1103 0.0 0.1 288876 1048 ? Ssl Nov07 0:02 /usr/lib/policykit-1/polkitd --no-debug
root 1123 0.0 0.1 14664 1760 ttyS0 Ss+ Nov07 0:00 /sbin/agetty -o -p -- \u --keep-baud 115200,38400,9600 ttyS0 vt220
root 1128 0.0 0.1 14888 1540 tty1 Ss+ Nov07 0:00 /sbin/agetty -o -p -- \u --noclear tty1 linux
root 1161 0.0 1.0 185936 10328 ? Ssl Nov07 0:00 /usr/bin/python3 /usr/share/unattended-upgrades/unattended-upgrade-shutdown --wait-for-signal
www-data 1202 0.0 0.0 19904 360 ? Ss Nov07 0:37 /usr/bin/htcacheclean -d 120 -p /var/cache/apache2/mod_cache_disk -l 300M -n
root 1386 0.0 2.6 95296 26772 ? Ss Nov07 0:27 /usr/bin/perl /usr/share/webmin/miniserv.pl /etc/webmin/miniserv.conf
root 1465 0.0 0.2 67372 2424 ? Ss Nov07 0:23 /usr/lib/postfix/sbin/master -w
postfix 1482 0.0 0.2 73956 2408 ? S Nov07 0:51 qmgr -l -t unix -u
root 2067 0.0 3.2 485040 32928 ? Ss Nov08 7:46 /usr/sbin/apache2 -k start
root 12896 0.0 0.2 72292 2316 ? Ss Nov25 0:00 /usr/sbin/sshd -D
mysql 16706 1.1 30.5 1160824 308172 ? Sl 16:18 2:11 /usr/sbin/mysqld --daemonize --pid-file=/run/mysqld/mysqld.pid
root 17345 0.0 0.2 57504 2496 ? S 16:30 0:00 /usr/sbin/CRON -f
ubuntu 17347 0.0 1.4 291368 14852 ? Ss 16:30 0:00 /usr/bin/php /var/www/html/cron_schedule_ride_new.php
root 19490 0.0 0.9 26416 9304 ? S<Ls 00:00 0:18 /usr/bin/atop -R -w /var/log/atop/atop_20191127 600
root 20107 0.0 0.0 0 0 ? I 17:56 0:00 [kworker/0:0]
postfix 20251 0.0 0.2 73808 2292 ? S 18:08 0:00 pickup -l -t unix -u -c
www-data 20898 0.1 5.0 564828 51008 ? S 18:36 0:05 /usr/sbin/apache2 -k start
www-data 21260 0.1 2.7 563672 27968 ? S 18:47 0:02 /usr/sbin/apache2 -k start
www-data 21262 0.1 5.0 564388 51360 ? S 18:47 0:03 /usr/sbin/apache2 -k start
root 21534 0.0 0.0 0 0 ? I 19:05 0:00 [kworker/u30:1]
systemd+ 21845 0.0 0.3 70624 3364 ? Ss 19:12 0:00 /lib/systemd/systemd-resolved
root 21864 0.0 0.0 0 0 ? I 19:12 0:00 [kworker/u30:2]
root 21899 0.0 0.0 0 0 ? I 19:12 0:00 [kworker/0:1]
www-data 21943 0.0 2.4 488332 24828 ? S 19:15 0:00 /usr/sbin/apache2 -k start
root 21981 0.0 0.0 0 0 ? I 19:18 0:00 [kworker/u30:0]
www-data 21985 0.1 2.4 488424 24532 ? S 19:18 0:00 /usr/sbin/apache2 -k start
www-data 22004 0.1 2.3 487908 23308 ? S 19:19 0:00 /usr/sbin/apache2 -k start
www-data 22052 0.0 2.9 487908 29296 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22053 0.0 0.0 0 0 ? Z 19:21 0:00 [apache2] <defunct>
www-data 22057 0.1 3.0 490388 30400 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22058 0.0 2.6 487776 26228 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22059 0.1 2.9 488332 29684 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22060 0.0 2.9 487908 29312 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22067 0.0 2.9 488332 29432 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22069 0.0 2.9 487908 29436 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22070 0.0 2.9 488332 29556 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22077 0.0 2.9 487908 29300 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22078 0.0 2.6 487776 26228 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22085 0.0 2.8 487908 29112 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22086 0.0 2.9 488332 29452 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22088 0.0 2.8 487908 29172 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22090 0.0 2.9 488304 29848 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22093 0.0 2.7 487776 27908 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22094 0.0 2.9 488332 29668 ? S 19:21 0:00 /usr/sbin/apache2 -k start
www-data 22099 0.0 3.0 488388 30292 ? S 19:21 0:00 /usr/sbin/apache2 -k start
root 22112 0.0 0.3 57504 3360 ? S 19:22 0:00 /usr/sbin/CRON -f
root 22113 0.0 0.3 57504 3356 ? S 19:22 0:00 /usr/sbin/CRON -f
root 22114 0.0 0.3 11592 3248 ? Ss 19:22 0:00 /bin/bash -c /usr/bin/php /var/www/html/top_log.php >/dev/null 2>&1
www-data 22115 0.0 0.0 4628 856 ? Ss 19:22 0:00 /bin/sh -c /usr/bin/php /var/www/html/crondeleteico.php >/dev/null 2>&1
www-data 22116 10.0 2.4 284932 24440 ? S 19:22 0:00 /usr/bin/php /var/www/html/crondeleteico.php
root 22117 8.0 2.2 284932 22464 ? SN 19:22 0:00 /usr/bin/php /var/www/html/top_log.php
root 22120 0.0 0.0 4628 808 ? SN 19:22 0:00 sh -c ps aux u
root 22121 0.0 0.3 36072 3376 ? RN 19:22 0:00 ps aux u
root 23492 0.0 2.4 95296 25032 ? S Nov11 0:00 /usr/bin/perl /usr/share/webmin/miniserv.pl /etc/webmin/miniserv.conf
Antwort1
Hacker ersetzen Tools wie und ähnliche häufig durch „Versionen“ top, auf denen die Spuren und Prozesse des Hackers nicht erkennbar sind.ps
Versuchen Sie, mit verschiedenen Tools die unerwünschten Prozesse zu finden. Und versuchen Sie natürlich, PS, Top und andere Dienstprogramme neu zu installieren.