Ataque extraño que hace que la CPU de mi servidor sea muy alta

3

Noté que la CPU de mi servidor es super alta y que la razón es el comando grep "A"

Despuésdeunamiradaprofunda,esoesloqueheencontradoenmilistadeconexionesdeInternetactivas(netstat-tupn)

tcp00138.xxx.140.xxx:60752198.1.158.134:80ESTABLISHED1583/grep"A"   

He eliminado la tarea llamando a sudo kill -9 1583 , luego la misma dirección IP realizó la siguiente conexión con un comando diferente

tcp 0 0 138.xxx.140.xxx:32956 198.1.158.134:8000 ESTABLISHED 13139/id

llamando a lsof , encontré que el nombre del proceso es bkhcdgfdv con estas líneas

bkhcdgfdv 14771 14825             root    5r      REG              253,1  4516064      57220 /usr/sbin/php-fpm7.1
bkhcdgfdv 14771 14826             root  cwd       DIR              253,1     4096          2 /
bkhcdgfdv 14771 14826             root  rtd       DIR              253,1     4096          2 /
bkhcdgfdv 14771 14826             root  txt       REG              253,1   625878       2100 /usr/bin/bkhcdgfdva
bkhcdgfdv 14771 14826             root    0u      CHR                1,3      0t0          6 /dev/null
bkhcdgfdv 14771 14826             root    1u      CHR                1,3      0t0          6 /dev/null
bkhcdgfdv 14771 14826             root    2u      CHR                1,3      0t0          6 /dev/null
bkhcdgfdv 14771 14826             root    3u     IPv4             309207      0t0        TCP MY_HOSTNAME:32982->198.1.158.134:8000 (ESTABLISHED)

Pregunta: ¿Qué tipo de ataque es este y cómo lo detengo?

    
pregunta Adam 30.07.2018 - 07:18
fuente

0 respuestas

Lea otras preguntas en las etiquetas