最近我注意到出现的多个过程看起来像这样。我认为它们每分钟都在增加。我知道他们使用内存,但我不知道是什么导致他们首先出现。
我该如何解决这个问题并阻止它们再次出现?
www-data 2382 3.0 2.4 91924 12092 pts/1 Sl+ 13:18 1:37 ./hlds_i686 -game cstrike +ip 0.0.0.0 +maxplayers 32 +map de
www-data 2391 0.0 0.0 23748 464 ? Ss 13:18 0:00 SCREEN -d -m ./hlds_run -game cstrike +ip 0.0.0.0 +maxplayer
www-data 2392 0.0 0.0 4008 496 pts/2 Ss+ 13:18 0:00 /bin/sh ./hlds_run -game cstrike +ip 0.0.0.0 +maxplayers 32
hlds是半条命专用服务器。用于托管游戏的服务器。
如果您没有安装它,则有人入侵了您的服务器。他们在您的主机上运行游戏,使用您的 CPU 分配和带宽。立即备份并与您的主机讨论解决此问题(如果他们通过您托管的狡猾脚本闯入,更改您的 FTP 密码可能还不够)。
在恢复备份之前,请尽可能确保所有内容都出于与上述相同的原因进行了更新。你不想让这些人回来。
编辑:您可能希望对此进行更多取证。启动游戏的人似乎在某个时候通过 SSH 连接(启动屏幕进程,然后是 hlds),因此通过运行who. 如果您在那里看到某人的 IP 不是您的,请考虑与您当地的执法部门交谈。
在进行备份之后但在告诉主机之前执行此操作。警察将需要日志和访问权限 - 如果主机已经破坏了所有内容并且备份可能没有足够的证据,他们将不会得到这两者。
请注意,如果您与主机和/或第三方(PCI-DSS 板)签订合同,您可能有义务尽快关闭漏洞,因此在考虑之前请确保您在法律上能够玩等待游戏。
如果您找到攻击方的 IP 地址,并且您有其他日志(网络日志等),则扫描这些日志以获取其 IP。您可能真的很幸运并找到了入侵点。很少有你会这么幸运,但每隔一段时间当明星排队时,你就会得到一个非常懒惰的脚本小子:)