Ho notato che la mia CPU del server è super alta e il motivo è grep "A"
comando
Dopounesameapprofondito,quellochehotrovatonell'elencodellemieconnessioniInternetattive(netstat-tupn
)
tcp00138.xxx.140.xxx:60752198.1.158.134:80ESTABLISHED1583/grep"A"
Ho ucciso l'attività chiamando sudo kill -9 1583
, quindi lo stesso indirizzo IP ha effettuato la seguente connessione con un comando diverso
tcp 0 0 138.xxx.140.xxx:32956 198.1.158.134:8000 ESTABLISHED 13139/id
chiamando lsof
ho trovato che il nome del processo è bkhcdgfdv
con queste linee
bkhcdgfdv 14771 14825 root 5r REG 253,1 4516064 57220 /usr/sbin/php-fpm7.1
bkhcdgfdv 14771 14826 root cwd DIR 253,1 4096 2 /
bkhcdgfdv 14771 14826 root rtd DIR 253,1 4096 2 /
bkhcdgfdv 14771 14826 root txt REG 253,1 625878 2100 /usr/bin/bkhcdgfdva
bkhcdgfdv 14771 14826 root 0u CHR 1,3 0t0 6 /dev/null
bkhcdgfdv 14771 14826 root 1u CHR 1,3 0t0 6 /dev/null
bkhcdgfdv 14771 14826 root 2u CHR 1,3 0t0 6 /dev/null
bkhcdgfdv 14771 14826 root 3u IPv4 309207 0t0 TCP MY_HOSTNAME:32982->198.1.158.134:8000 (ESTABLISHED)
Domanda: Che tipo di attacco è questo e come lo interrompo?