VPS под управлением Ubuntu 14.04.5 LTS потребляет почти 300% мощности процессора. Идентифицирован бегущий top так как cER6XH.
Есть ли способ отследить, что это за процесс и почему он может стать некорректным?
Когда вы говорите VPS, вы имеете в виду виртуальный сервер, работающий в решении виртуализации, таком как KVM?
300% CPU просто означает, что он работает на 3 ядрах одновременно. Если это виртуальный сервер и выделено 3 ядра - если он что-то делает, все выделенные процессоры должны быть заняты, чтобы узнать, что он делает, вам нужно будет подключиться к серверу и запустить там top или ps.
Вы можете узнать, какой процесс выполняется, указав ссылку на exe в каталоге процессов: если PID, который вы видите вверху, равен 666, выполните ls -l /proc/666/exe.
Это покажет (или, по крайней мере, должно) показать -> стрелка к файлу, который можно проанализировать.
Однако имя файла случайное, и это с некоторой уверенностью указывает на то, что ваш сервер был скомпрометирован, и что вам необходимо принять немедленные корректирующие действия, которые выходят за рамки этого короткого ответа. Лучше всего сделать резервную копию всего и заменить VPS на последнюю версию ОС. Вы хотите определить, как злоумышленник проник и убедиться, что новый сервер не имеет такой же проблемы (смените пароль, убедитесь, что все услуги, предлагаемые в Интернете, безопасны и т. Д.)
Я бы выдал ps -ef и grep для процесса. Столбцы в ps выход UID, PID, PPID, C, STIME, TTY, TIME и CMD. посмотри на PPID столбец, чтобы определить, какой родительский процесс запущен cER6XH. Перевыпустить ps command и grep для PID родительского процесса. В конце концов, вы должны выяснить, какие двоичные файлы задействованы, и, возможно, отследить, какое приложение следует изучить дальше.
Более простой способ (в зависимости от того, насколько загружена ваша система) может быть pstree команда, но вывод по конвейеру less чтобы вы могли нормально просматривать страницы с информацией.
edit: чтение комментария от @ Law29: хотя имя процесса является нестандартной утилитой * nix и выглядит подозрительно, возможно, что другой процесс, который вы запускаете, создал временный сценарий оболочки и что-то разветвил. Само по себе имя процесса не является признаком компромисса.