Question

我在进程管理器中发现这两个进程，第一个由用户运行，第二个由 root 运行，这是否意味着我的服务器已被入侵？

=== cpaneluser 运行的第一个任务，尽管它没有 ssh 访问权限

查找 /home/cpaneluser/public_html/wp-content（（（（-type f）（-user cpaneluser）（！（（-perm 000）-o（-perm 004）-o（-perm 040）-o（-perm 044）-o（-perm 200）-o（-perm 204）-o（-perm 240）-o（-perm 244）-o（-perm 400）-o（-perm 404）-o（-perm 440）-o（-perm 444）-o（-perm 600）-o（-perm 604）-o（-perm 640）-o（-perm 644）））））-o（（（-type d ) (-user cpaneluser) (！((-perm 000)-o(-perm 001)-o(-perm 004)-o(-perm 005)-o(-perm 010)-o(-perm 011)-o(-perm 014)-o(-perm 015)-o(-perm 040)-o(-perm 041)-o(-perm 044)-o(-perm 045)-o(-perm 050)-o(-perm 051)-o(-perm 054)-o(-perm 055)-o(-perm 100)-o(-perm 101)-o(-perm 104)-o( -perm 105 ) -o ( -perm 110 ) -o ( -perm 111 ) -o ( -perm 114 ) -o ( -perm 115 ) -o ( -perm 140 ) -o ( -perm 141 ) -o ( -perm 144 ) -o ( -perm 145 ) -o ( -perm 150 ) -o ( -perm 151 ) -o ( -perm 154 ) -o ( -perm 155 ) -o ( -perm 200 ) -o ( -perm 201 ) -o ( -perm 204 ) -o ( -perm 205 ) -o ( -perm 210 ) -o ( -perm 211 ) -o ( -perm 214 ) -o ( -perm 215 ) -o ( -perm 240 ) -o ( -perm 241 ) -o ( -perm 244 ) -o ( -perm 245 ) -o ( -perm 250 ) -o ( -perm 251 ) -o ( -perm 254 ) -o ( -perm 255 ) -o ( -perm 300 ) -o ( -perm 301 ) -o ( -perm 304 ) -o ( -perm 305 ) -o ( -perm 310 ) -o ( -perm 311 ) -o ( -perm 314 ) -o ( -perm 315 ) -o ( -perm 340 ) -o ( -perm 341 ) -o ( -perm 344 ) -o ( -perm 345 ) -o (-perm 350) -o (-perm 351) -o (-perm 354) -o (-perm 355) -o (-perm 400) -o (-perm 401) -o (-perm 404) -o (-perm 405) -o (-perm 410) -o (-perm 411) -o (-perm 414) -o (-perm 415) -o (-perm 440) -o (-perm 441) -o (-perm 444) -o (-perm 445) -o (-perm 450) -o (-perm 451) -o (-perm 454) -o (-perm 455) -o (-perm 500 ) -o ( -perm 501 ) -o ( -perm 504 ) -o ( -perm 505 ) -o ( -perm 510 ) -o ( -perm 511 ) -o ( -perm 514 ) -o ( -perm 515 ) -o ( -perm 540 ) -o ( -perm 541 ) -o ( -perm 544 ) -o ( -perm 545 ) -o ( -perm 550 ) -o ( -perm 551 ) -o ( -perm 554 ) -o ( -perm 555 ) -o ( -perm 600 ) -o ( -perm 601 ) -o ( -perm 604 ) -o ( -perm 605 ) -o ( -perm 610 ) -o (-perm 611) -o (-perm 614) -o (-perm 615) -o (-perm 640) -o (-perm 641) -o (-perm 644) -o (-perm 645) -o (-perm 650) -o (-perm 651) -o (-perm 654) -o (-perm 655) -o (-perm 700) -o (-perm 701) -o (-perm 704) -o (-perm 705) -o (-perm 710) -o (-perm 711) -o (-perm 714) -o (-perm 715) -o (-perm 740) -o (-perm 741 ) -o ( -perm 744 ) -o ( -perm 745 ) -o ( -perm 750 ) -o ( -perm 751 ) -o ( -perm 754 ) -o ( -perm 755 ) ) ) ) ) -print -quit

=== 由 root 运行的第二个任务

sudo -E -u cpaneluser holder.proxied /bin/sh -c cd /home/cpaneluser/public_html && find /home/cpaneluser/public_html/wp-content ‘(‘ ‘(‘ ‘(‘ ‘(‘ -type f ‘)’ ‘(‘ -user cpaneluser ‘)’ ‘(‘ ‘!’ ‘(‘ ‘(‘ -perm 000 ‘)’ -o ‘(‘ -perm 004 ‘)’ -o ‘(‘ -perm 040 ‘)’ -o ‘(‘ -perm 044 ‘)’ -o ‘(‘ -perm 200 ‘)’ -o ‘(‘ -perm 204 ‘)’ -o ‘(‘ -perm 240 ‘)’ -o ‘(‘ -perm 244 ‘)’ -o ‘(‘ -perm 400 ‘)’ -o ‘(‘ -perm 404 ‘)’ -o ‘(‘ -perm 440 ‘)’ -o ‘(‘ -perm 444 ‘)’ -o ‘(‘ -perm 600 ‘)’ -o ‘(‘ -perm 604 ‘)’ -o ‘(‘ -perm 640 ‘)’ -o ‘(‘ -perm 644 ‘)’ ‘)’ ‘)’ ‘)’ ‘)’ -o ‘(‘ ‘(‘ ‘(‘ -type d ‘)’ ‘(‘ -user cpaneluser ‘)’ ‘(‘ ‘!’ ‘(‘ ‘(‘ -perm 000 ‘)’ -o ‘(‘ -perm 001 ‘)’ -o ‘(‘ -perm 004 ‘)’ -o ‘(‘ -perm 005 ‘)’ -o ‘(‘ -perm 010 ‘)’ -o ‘(‘ -perm 011 ‘)’ -o ‘(‘ -perm 014 ‘)’ -o ‘(‘ -perm 015 ‘)’ -o ‘(‘ -perm 040 ‘)’ -o ‘(‘ -perm 041 ‘)’ -o ‘(‘ -perm 044 ‘)’ -o ‘(‘ -perm 045 ‘)’ -o ‘(‘ -perm 050 ‘)’ -o ‘(‘ -perm 051 ‘)’ -o ‘(‘ -perm 054 ‘)’ -o ‘(‘ -perm 055 ‘)’ -o ‘(‘ -perm 100 ‘)’ -o ‘(‘ -perm 101 ‘)’ -o ‘(‘ -perm 104 ‘)’ -o ‘(‘ -perm 105 ‘)’ -o ‘(‘ -perm 110 ‘)’ -o ‘(‘ -perm 111 ‘)’ -o ‘(‘ -perm 114 ‘)’ -o ‘(‘ -perm 115 ‘)’ -o ‘(‘ -perm 140 ‘)’ -o ‘(‘ -perm 141 ‘)’ -o ‘(‘ -perm 144 ‘)’ -o ‘(‘ -perm 145 ‘)’ -o ‘(‘ -perm 150 ‘)’ -o ‘(‘ -perm 151 ‘)’ -o ‘(‘ -perm 154 ‘)’ -o ‘(‘ -perm 155 ‘)’ -o ‘(‘ -perm 200 ‘)’ -o ‘(‘ -perm 201 ‘)’ -o ‘(‘ -perm 204 ‘)’ -o ‘(‘ -perm 205 ‘)’ -o ‘(‘ -perm 210 ‘)’ -o ‘(‘ -perm 211 ‘)’ -o ‘(‘ -perm 214 ‘)’ -o ‘(‘ -perm 215 ‘)’ -o ‘(‘ -perm 240 ‘)’ -o ‘(‘ -perm 241 ‘)’ -o ‘(‘ -perm 244 ‘)’ -o ‘(‘ -perm 245 ‘)’ -o ‘(‘ -perm 250 ‘)’ -o ‘(‘ -perm 251 ‘)’ -o ‘(‘ -perm 254 ‘)’ -o ‘(‘ -perm 255 ‘)’ -o ‘(‘ -perm 300 ‘)’ -o ‘(‘ -perm 301 ‘)’ -o ‘(‘ -perm 304 ‘)’ -o ‘(‘ -perm 305 ‘)’ -o ‘(‘ -perm 310 ‘)’ -o ‘(‘ -perm 311 ‘)’ -o ‘(‘ -perm 314 ‘)’ -o ‘(‘ -perm 315 ‘)’ -o ‘(‘ -perm 340 ‘)’ -o ‘(‘ -perm 341 ‘)’ -o ‘(‘ -perm 344 ‘)’ -o ‘(‘ -perm 345 ‘)’ -o ‘(‘ -perm 350 ‘)’ -o ‘(‘ -perm 351 ‘)’ -o ‘(‘ -perm 354 ‘)’ -o ‘(‘ -perm 355 ‘)’ -o ‘(‘ -perm 400 ‘)’ -o ‘(‘ -perm 401 ‘)’ -o ‘(‘ -perm 404 ‘)’ -o ‘(‘ -perm 405 ‘)’ -o ‘(‘ -perm 410 ‘)’ -o ‘(‘ -perm 411 ‘)’ -o ‘(‘ -perm 414 ‘)’ -o ‘(‘ -perm 415 ‘)’ -o ‘(‘ -perm 440 ‘)’ -o ‘(‘ -perm 441 ‘)’ -o ‘(‘ -perm 444 ‘)’ -o ‘(‘ -perm 445 ‘)’ -o ‘(‘ -perm 450 ‘)’ -o ‘(‘ -perm 451 ‘)’ -o ‘(‘ -perm 454 ‘)’ -o ‘(‘ -perm 455 ‘)’ -o ‘(‘ -perm 500′)’ -o ‘(‘ -perm 501 ‘)’ -o ‘(‘ -perm 504 ‘)’ -o ‘(‘ -perm 505 ‘)’ -o ‘(‘ -perm 510 ‘)’ -o ‘(‘ -perm 511 ‘)’ -o ‘(‘ -perm 514 ‘)’ -o ‘(‘ -perm 515 ‘)’ -o ‘(‘ -perm 540 ‘)’ -o ‘(‘ -perm 541 ‘)’ -o ‘(‘ -perm 544 ‘)’ -o ‘(‘ -perm 545 ‘)’ -o ‘(‘ -perm 550 ‘)’ -o ‘(‘ -perm 551 ‘)’ -o ‘(‘ -perm 554 ‘)’ -o ‘(‘ -perm 555 ‘)’ -o ‘(‘ -perm 600 ‘)’ -o ‘(‘ -perm 601 ‘)’ -o ‘(‘ -perm 604 ‘)’ -o ‘(‘ -perm 605 ‘)’ -o ‘(‘ -perm 610 ‘)’ -o ‘(‘ -perm 611 ‘)’ -o ‘(‘ -perm 614 ‘)’ -o ‘(‘ -perm 615 ‘)’ -o ‘(‘ -perm 640 ‘)’ -o ‘(‘ -perm 641 ‘)’ -o ‘(‘ -perm 644 ‘)’ -o ‘(‘ -perm 645 ‘)’ -o ‘(‘ -perm 650 ‘)’ -o ‘(‘ -perm 651 ‘)’ -o ‘(‘ -perm 654 ‘)’ -o ‘(‘ -perm 655 ‘)’ -o ‘(‘ -perm 700 ‘)’ -o ‘(‘ -perm 701 ‘)’ -o ‘(‘ -perm 704 ‘)’ -o ‘(‘ -perm 705 ‘)’ -o ‘(‘ -perm 710 ‘)’ -o ‘(‘ -perm 711 ‘)’ -o ‘(‘ -perm 714 ‘)’ -o ‘(‘ -perm 715 ‘)’ -o ‘(‘ -perm 740 ‘)’ -o ‘(‘ -perm 741 ‘)’ -o ‘(‘ -perm 744 ‘)’ -o ‘(‘ -perm 745 ‘)’ -o’（’-perm 750’）’-o’（’-perm 751’）’-o’（’-perm 754’）’-o’（’-perm 755’）”）”）”）”）”）’-print -quit-perm 700 ‘)’ -o ‘(‘ -perm 701 ‘)’ -o ‘(‘ -perm 704 ‘)’ -o ‘(‘ -perm 705 ‘)’ -o ‘(‘ -perm 710 ‘)’ -o ‘(‘ -perm 711 ‘)’ -o ‘(‘ -perm 714 ‘)’ -o ‘(‘ -perm 715 ‘)’ -o ‘(‘ -perm 740 ‘)’ -o ‘(‘ -perm 741 ‘)’ -o ‘(‘ -perm 744 ‘)’ -o ‘(‘ -perm 745 ‘)’ -o ‘(‘ -perm 750 ‘)’ -o ‘(‘ -perm 751 ‘)’ -o ‘(‘ -perm 754 ‘)’ -o ‘(‘ -perm 755 ‘)’ ‘)’ ‘)’ ‘)’ ‘)’ ‘)’ -print -quit-perm 700 ‘)’ -o ‘(‘ -perm 701 ‘)’ -o ‘(‘ -perm 704 ‘)’ -o ‘(‘ -perm 705 ‘)’ -o ‘(‘ -perm 710 ‘)’ -o ‘(‘ -perm 711 ‘)’ -o ‘(‘ -perm 714 ‘)’ -o ‘(‘ -perm 715 ‘)’ -o ‘(‘ -perm 740 ‘)’ -o ‘(‘ -perm 741 ‘)’ -o ‘(‘ -perm 744 ‘)’ -o ‘(‘ -perm 745 ‘)’ -o ‘(‘ -perm 750 ‘)’ -o ‘(‘ -perm 751 ‘)’ -o ‘(‘ -perm 754 ‘)’ -o ‘(‘ -perm 755 ‘)’ ‘)’ ‘)’ ‘)’ ‘)’ ‘)’ -print -quit