猜测是服务器 mariadb 的 root 用户密码泄露,导致被创建了好几个用户,它们的用户名是 systemd,server 等
攻击者用 root 用户在 mysqld 目录创建一个 cna12.dll 文件,引发了报警。
但服务器操作系统是 CentOS 7,而 dll 文件明显是 windows 的链接库文件,估计是批量攻击,攻击者并未确定服务器操作系统类型。
解决:
1、用腾讯云Web界面删除了可疑文件
2、停止 httpd 和 mariadb 服务
3、修改了 root 用户密码
4、删除被创建的未知用户
5、检查进程和端口,未发现可疑,估计攻击者并未从 mariadb 管理员向操作系统管理员提权成功
参考:
1、https://malwaremusings.com/2013/01/31/what-is-cna12-dll-and-the-piress-user/