Attacco strano che rende il mio server CPU super alto

3

Ho notato che la mia CPU del server è super alta e il motivo è grep "A" comando

Dopounesameapprofondito,quellochehotrovatonell'elencodellemieconnessioniInternetattive(netstat-tupn)

tcp00138.xxx.140.xxx:60752198.1.158.134:80ESTABLISHED1583/grep"A"   

Ho ucciso l'attività chiamando sudo kill -9 1583 , quindi lo stesso indirizzo IP ha effettuato la seguente connessione con un comando diverso

tcp 0 0 138.xxx.140.xxx:32956 198.1.158.134:8000 ESTABLISHED 13139/id

chiamando lsof ho trovato che il nome del processo è bkhcdgfdv con queste linee

bkhcdgfdv 14771 14825             root    5r      REG              253,1  4516064      57220 /usr/sbin/php-fpm7.1
bkhcdgfdv 14771 14826             root  cwd       DIR              253,1     4096          2 /
bkhcdgfdv 14771 14826             root  rtd       DIR              253,1     4096          2 /
bkhcdgfdv 14771 14826             root  txt       REG              253,1   625878       2100 /usr/bin/bkhcdgfdva
bkhcdgfdv 14771 14826             root    0u      CHR                1,3      0t0          6 /dev/null
bkhcdgfdv 14771 14826             root    1u      CHR                1,3      0t0          6 /dev/null
bkhcdgfdv 14771 14826             root    2u      CHR                1,3      0t0          6 /dev/null
bkhcdgfdv 14771 14826             root    3u     IPv4             309207      0t0        TCP MY_HOSTNAME:32982->198.1.158.134:8000 (ESTABLISHED)

Domanda: Che tipo di attacco è questo e come lo interrompo?

    
posta Adam 30.07.2018 - 07:18
fonte

0 risposte

Leggi altre domande sui tag