متوجه شدم که سرور سرور من فوق العاده بالا است و دلیل آن grep A است دستور
پس از نگاه عمیق، آنچه در اینترنت فعال من یافتم لیست اتصالات ( netstat-tupn )
tcp 0 138.xxx.140.xxx: 60752 198.1.158.134:80 ESTABLISHED 1583 / grep "A"
این کار را با تماس sudo kill -9 1583 انجام دادم و سپس یک آدرس IP مشابه با یک دستور مختلف ارتباط برقرار کرد
tcp 0 138.xxx.140.xxx: 32956 198.1.158.134:8000 ایجاد شده 13139 / id
با فراخوانی lsof نام فرآیند یافت شده bkhcdgfdv با این خطوط
bkhcdgfdv 14771 14825 ریشه 5r REG 253،1 4516064 57220 /usr/sbin/php-fpm7.1
bkhcdgfdv 14771 14826 root cwd DIR 253،1 4096 2 /
bkhcdgfdv 14771 14826 root rtd DIR 253،1 4096 2 /
bkhcdgfdv 14771 14826 root txt REG 253،1 625878 2100 / usr / bin / bkhcdgfdva
bkhcdgfdv 14771 14826 root 0u CHR 1،3 0t0 6 / dev / null
bkhcdgfdv 14771 14826 root 1u CHR 1،3 0t0 6 / dev / null
bkhcdgfdv 14771 14826 root 2u CHR 1،3 0t0 6 / dev / null
bkhcdgfdv 14771 14826 root 3u IPv4 309207 0t0 TCP MY_HOSTNAME: 32982-> 198.1.158.134:8000 (ESTABLISHED)
پرسش: چه نوع حمله ای است و چگونه می توانم آن را متوقف کنم؟
