奇怪的'agetty‘进程运行在我的VPS上。

Question

最近，由于恶意软件，我不得不重新安装我的VPS服务器(再次)。我采取了我认为相当好的安全防范措施。我还锁定了根帐户，并且也使用sudo。但一天后，我登录并注意到程序“agetty”正在运行在几个TTY上：

root       382  0.0  0.0  12600   292 tty3     Ss+  Jun21   0:00 /sbin/agetty --noclear tty3 linux
root       383  0.0  0.0  12600   292 tty2     Ss+  Jun21   0:00 /sbin/agetty --noclear tty2 linux
root       384  0.0  0.0  12600   292 tty5     Ss+  Jun21   0:00 /sbin/agetty --noclear tty5 linux
root       385  0.0  0.0  12600   292 tty6     Ss+  Jun21   0:00 /sbin/agetty --noclear tty6 linux
root       386  0.0  0.0  12600   292 tty4     Ss+  Jun21   0:00 /sbin/agetty --noclear tty4 linux
root       387  0.0  0.0  12600   296 tty1     Ss+  Jun21   0:00 /sbin/agetty --noclear --keep-baud console 115200 38400 9600 vt102

显然，agetty是一种“替代getty”，用于通过串行控制台访问系统，或者至少是我的理解。因此，在我的服务器上运行这些进程似乎没有合法的理由。我给我的提供者发了邮件，他们说除非我配置它，否则它不应该运行，而且它与他们的系统没有任何关系。这使我认为有人试图黑我的服务器(再次)。

我有几个问题。首先，我看到这些过程有什么正当的理由吗？第二，这些选项意味着什么：--keep-baud console 115200 38400 9600 vt102？我无法完全理解从阅读手册页或从我在网上找到的任何东西中所发生的事情。是否有人设法将登录控制台送到我的服务器，并试图强行进入我的服务器以获得一个shell？我检查了auth.log和syslog，没有发现任何显示这种活动的信息。

我想我只是想弄清楚这个过程是什么，如果它是恶意的，我如何才能杀死它？重启机器不起作用..。如有任何建议，将不胜感激。

Answer 1

这些是默认的Linux“控制台”或虚拟终端(VTs)，Alt+F1-F6。我不记得在默认情况下看到没有安装它们的系统。

您可以通过从init/systemd/upstart/任何脚本中删除它们来禁用它们。Linux发行版的文档可能会提到这一点。