如何从ubuntu中删除auditlog?
如何从ubuntu中删除auditlog?
提问于 2021-04-15 05:59:44
我的Ubunut 18.04服务器有一个运行auditlog的命令,它消耗了我的CPU的100%。如果我终止进程查找PID,它可以正常工作一天左右,然后它将再次运行并消耗我的CPU。
一旦我在机器中安装了邮件服务器,然后删除它,我想这可能是审计日志的一个原因,但我无法跟踪它。
请帮我取消这项服务。
root 11710 87.7 0.2 715092 4684 ? Ssl Apr14 1709:42 auditlog
ubuntu 12059 0.0 0.0 14428 1004 pts/0 S+ 10:47 0:00 grep --color=auto auditlog命令输出:cat /proc/9499/cmdline是auditlog
和ls -lF /proc/9499/fd/输出:
lr-x------ 1 root root 64 Apr 20 11:29 0 -> /dev/null
l-wx------ 1 root root 64 Apr 20 11:29 1 -> 'pipe:[7363932]'
lrwx------ 1 root root 64 Apr 20 11:29 10 -> 'anon_inode:[eventfd]'
lr-x------ 1 root root 64 Apr 20 11:29 11 -> /dev/null
lrwx------ 1 root root 64 Apr 20 11:29 12 -> 'socket:[7417752]'
l-wx------ 1 root root 64 Apr 20 11:29 2 -> 'pipe:[7363933]'
lrwx------ 1 root root 64 Apr 20 11:29 3 -> 'anon_inode:[eventpoll]'
lr-x------ 1 root root 64 Apr 20 11:29 4 -> 'pipe:[7363997]'
l-wx------ 1 root root 64 Apr 20 11:29 5 -> 'pipe:[7363997]'
lr-x------ 1 root root 64 Apr 20 11:29 6 -> 'pipe:[7363996]'
l-wx------ 1 root root 64 Apr 20 11:29 7 -> 'pipe:[7363996]'
lrwx------ 1 root root 64 Apr 20 11:29 8 -> 'anon_inode:[eventfd]'
lrwx------ 1 root root 64 Apr 20 11:29 9 -> 'anon_inode:[eventfd]'命令grep -s -i auditlog /etc/cron* /etc/cron*/*没有发现任何信息
回答 1
Unix & Linux用户
发布于 2021-06-04 08:17:45
我也有同样的想法,我不敢说这是一种隐秘的挖掘病毒。
您的服务器可能受到破坏,因此您最安全的操作步骤是重新构建。
编辑:
有人问我是怎么决定的。
我运行了一个netstat命令,类似于列出出站连接的netstat -antup;由此,我发现"auditlog“进程正在向服务器static.88-99-193-240.clients.your-server.de发送出站请求。
我在googled上搜索了这个地址,它导致了这个页面:https://www.programmersought.com/article/54726926874/,它正好反映了我的问题,并且作者对这个密码挖掘机器人做了一些重要的分析。有益的是,有很多细节可能是有用的。
另外(我不知道在哪里)建议重建服务器,因为它可能会再次受到破坏。
页面原文内容由Unix & Linux提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://unix.stackexchange.com/questions/645164
复制相关文章
相似问题
腾讯云开发者
