我托管在 Google Cloud 上的 VPS 服务器受到加密货币恶意软件的攻击。它从“/tmp/init”运行并占用所有 CPU 资源。我所做的是终止进程并删除 /tmp/init 文件。我不知道如何,但几天后,/tmp/init 将再次出现并运行。
我尝试使用 rkhunter、lynis、chkrootkit 和 clamav 等几个 rootkit 工具找到它的来源,但什么也没找到,所有配置都正常。有 3 个从外部开放的端口:80(apache web 服务器)、20(只接受没有 root 登录的私钥)和 8983(Apache Solr)
有没有什么好的工具可以找到原因,或者有什么方法可以防止这种情况发生?
谢谢