Одним из потенциальных источников проблемы является то, что вы используете систему для запуска службы, но вместо файла модуля systemd вы используете старый сценарий SysVinit.
Это может означать, что вы используете старую версию MongoDB или что ваша новая версия MongoDB неправильно настроена.
Подтвердите, какую версию MongoDB вы используете, и проверьте, установлена ли /lib/systemd/system/mongod.service
в вашей системе.
Переключение на использование юнит-файла systemd для управления службой может не решить проблему сбоя, но определенно упростит настройку и, возможно, упростит поиск и устранение оставшихся неполадок.
Вы не решили проблему.
Вам необходимо отключить систему, выяснить, как проникло вредоносное ПО, и переустановить чистую копию с нуля.
Для получения дополнительной информации см. Что делать со скомпрометированным сервером? .
Это действительно похоже на довольно простую вредоносную программу. Он находится в каталогах с неопределенно правдоподобными названиями :
.ftpuser
— это пользователь, который предположительно может существовать на некоторых серверах, структура которых застряла десять или два года назад. (Аутентифицированный FTP уже давно должен был быть заменен SSH, включая SFTP. Анонимный FTP был в значительной степени заменен HTTP (s ).).nullcache
скрыто в некоторых списках . «Nullcache» используется в разных контекстах; хотя я не знаю об инструменте, использующем каталог .nullcache
, он достаточно правдоподобен, чтобы не выглядеть совершенно неуместным в списке каталогов. aptitude
— это инструмент системного администрирования, который не был бы неуместен в списке процессов (для дистрибутивов, которые его используют, т. е. Debian и его производные ). sync
— это стандартная утилита, но она обычно не работает долго, поэтому, хотя она неуместна в листинге процессов, она выглядит безобидно. upd
не является стандартным именем,но это выглядит безобидно, потому что похоже, что это сокращение от «обновление». anacron
и cron
являются общими инструментами, и во многих системах есть каталоги с таким именем (в/var/spool
). init0
близко к init
. run
существует в разных местах (/run
,/var/run
). stop
редко используется в качестве имени каталога, но опять же не совсем неуместно. /tmp/.X17-unix
совершенно неправдоподобно, но визуально похоже на /tmp/.X11-unix
, который существует во всех системах, работающих под управлением X Window System (X11 ), на которой основана стандартная Unix, и многие люди не знают что число 11 является значимым. Задания cron запускают различные двоичные файлы в этих смутно правдоподобных местах во время загрузки (@reboot
), раз в неделю(5 8 * * 0
)или примерно каждые три дня(0 0 */3 * *
).