VPS利用比特币挖掘。 如何识别缺陷？

我运行一个Ubuntu VPS来托pipe几个基本的网站，似乎有apache黑客比特币挖掘。

在我的apache error.log中，我看到以下内容。

[Sun Dec 15 06:27:58 2013] [notice] Apache/2.2.22 (Ubuntu) PHP/5.3.10-1ubuntu3.9 with Suhosin-Patch configured -- resuming normal operations [Sun Dec 15 06:27:58 2013] [info] Server built: Jul 12 2013 13:38:21 [Sun Dec 15 06:27:58 2013] [debug] prefork.c(1023): AcceptMutex: sysvsem (default: sysvsem [Sun Dec 15 09:14:16 2013] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 0 idle, and 18 total children curl: try 'curl --help' or 'curl --manual' for more information ./tmp.sh: 1: ./tmp.sh: ^M: not found % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed ^M 0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0^M100 165k 100 165k 0 0 402k 0 --:--:-- --:--:-- --:--:-- 460k ./tmp.sh: 2: ./tmp.sh: ^M: not found ./tmp.sh: 3: ./tmp.sh: ^M: not found ./tmp.sh: 4: ./tmp.sh: ^M: not found ./tmp.sh: 5: ./tmp.sh: ^M: not found ./tmp.sh: 6: ./tmp.sh: ^M: not found [2013-12-15 10:06:35] Starting Stratum on stratum+tcp://mine.pool-x.eu [2013-12-15 10:06:35] 1 miner threads started, using 'scrypt' algorithm. [2013-12-15 10:06:36] Stratum detected new block [2013-12-15 10:11:05] Stratum detected new block [2013-12-15 10:12:46] Stratum detected new block [2013-12-15 10:13:15] Stratum detected new block 

计划是重新build立我的VPS，但首先我想明白这是如何发生的，我正在走向死胡同。 以下是我注意到/尝试的一些事情：

1. 我可以重新启动我的VPS，直到几个小时后才开始采矿。 这是一个CRON的工作？ （似乎每天早上10点左右重启）。

   • 从debian服务器到中国的exception连接
   • 有我的服务器被黑了w00tw00t.at.ISC.S.DED.D.
   • 试图破解VPS，未来如何保护，他们试图做什么？
   • 我的linux系统被黑客入侵了。 有些文件即使是root也不可删除。 我怎样才能取代他们？
   • 绕过htaccess的限制？
   • 这是CRON的工作吗？ 似乎无法在crontab中find任何东西，但是我还有其他地方可以检查吗？
   • 他们有我的VPS的IP地址，并利用我的服务器上的东西？ 我将如何检测到这一点，错误和访问日志是不确定的。

2. 似乎不是一个WordPress的漏洞

3. 我已经设置了lastcomm和www数据用户，我看到以下 – 这显然是发生的攻击。 我如何获得更多关于正在进行和正在运行的信息？

   $ sudo lastcomm www-data

4. apache2和httpd进程有什么区别？

   

5. 我现在已经注意到了下面的访问日志条目，但从来没有一次与采矿开始时一致：

   POST / cgi-bin / php4？％2D％64 +％61％6C％6C％6F％77％5F％75％72 ％6C％5F％69％6E％63％6C％75％64％65％3D％6F％6E +％2D％64 +％73％61％66％65％5F％6D％6F％64％65％3D％ 6F％66％66 +％2D％64 +％73％75％68％6F％73％69％6E％2E％73％69％6D％75％6C $

6. 我也跑了pwdx的过程，它只是返回以下内容

   4529：/

   而MySQL进程返回以下内容。

   2298：/ var / lib / mysql

更新：

我不认为这是plesk利用，因为apache是​​返回一个404（正确？！）我现在非常确定这只是一个隐藏的CRON工作或东西。 甚至可能是一个隐藏的过程 他们最初是怎么进来的，我真的不确定！

 46.137.41.30 - - [26/Dec/2013:13:25:26 +0000] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 493 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"