Просто взглянув на опубликованный вами вывод, я вижу работающий майнер криптовалюты xmrig
. Если вы не собирались запускать этот процесс, это мог сделать кто-то с достаточным доступом.
Вы разместили два процесса, каждый из них выглядит очень подозрительно:
30741 www-data 20 0 89556 10264 4 S 213.6 0.1 26636:45 /tmp/sshm -c /tmp/.u
Это процесс, принадлежащий пользователю www-data
, который запускает исполняемый файл /tmp/sshm
с аргументом /tmp/.u
. Вы должны иметь возможность проверить эти два файла, чтобы определить, являются ли они вредоносными или нет.
18575 www-data 20 0 725948 10244 56 S 212.3 0.1 6608:57 /tmp/.FILE/stak/ld-linux-x86-64.so.2 --library-path /tmp/.FILE/stak /tmp/.FILE/stak/xmrig -o 195.22.126.117:443 -u 45ENzNUptUrV8nLM2Cwwwb1r98M7ZPocmdsmg1SKWAL6b8DJQcU3+
Это еще один процесс, принадлежащий www-data
, и это майнер криптовалюты. Он установил себя в /tmp/.FILE
. Если вы не устанавливали и не запускали это, то вас наверняка где-то эксплуатируют.
Если эти процессы являются вредоносными, их нужно убить, чтобы они перестали работать. Затем вы захотите найти точку входа этих вредоносных файлов. Поскольку они принадлежат www-data
, у вас, скорее всего, есть законный процесс на этом сервере, работающий от имени этого пользователя, возможно, веб-сервер или приложение, которое позволяет создавать и выполнять эти файлы.
Вам нужно как можно скорее найти эту точку входа и исправить ее, иначе вредоносные файлы, вероятно, просто вернутся снова. Просмотр файлов журнала должен помочь. Обязательно проверьте все, что может сделать пользователь www-data
. Дважды проверьте свой веб-сервер и/или веб-приложения, чтобы убедиться, что они не разрешают установку и выполнение этих файлов.
Один из шагов по усилению защиты сервера, который я видел для смягчения проблем такого рода, заключается в запрете выполнения exec из /tmp
вообще:mount -o noexec,remount /tmp
.