记录一次挖矿病毒kthreaddk和rcu_bj,导致CPU飙高处理

已于 2023-03-01 17:15:22 修改
阅读量2.6k 收藏 4
点赞数 1
文章标签: 后端 网络安全 服务器
于 2023-03-01 17:08:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_chenchen/article/details/129284684
版权

htop命令 存在kthreaddk和rcu_bj进程,cpu飙高 占用一般cpu或者70-80%

1、检查定时任务 查看是否有

# crontab -l 

检查root账号是否有异常定时任务 有的话crontab -e 修改定时任务保存

并检查所有的用户有没有定时任务( 注:我的是gitlab git账户被入侵)异常进程直接删除

crontab -u git -l 查看git账号是否有异常定时任务

 如有恶意定时任务 删除

# ls -l /proc/pid    查看进程 文件

#crontab -r    清空定时任务

2、删除相关植入的恶意文件

文件中/usr/lib/sys 恶意文件  直接清空文件数据

脚本 执行先杀进程 再清空日志 后回收内存 基本可以清掉数据

也可按情况重启 

#重启 reboot -h now 

#!/bin/bash
#杀掉rcu_bj所有相关进程
killall -9 rcu_bj
cd /usr/lib/sys
#清空日志
cat /dev/null > rcu_bj
cat /dev/null >rcu_libk
cat /dev/null >rcu_udev
cat /dev/null > systemd
#查看内存
free -m
#回收内存
echo 1 > /proc/sys/vm/drop_caches
echo 2 > /proc/sys/vm/drop_caches
echo 3 > /proc/sys/vm/drop_caches
#回收后的内存
free -m

 处理rcu_bj挖矿病毒基本可以解决

kthreaddk 挖矿病毒处理 可能是因为gitlab低版本的漏洞导致的

明确是git账号一直跑资源 处理如下:

1、关掉所有gitlab服务

关掉所有gitlab-runsvdir 服务

# systemctl stop gitlab-runsvdir

2、查看gitlab安装目录

 进入安装目录/var/opt/gitlab/gitlab-workhorse 

如果里面有很多文件全部删除 只保留以下几个文件 不放心可以先备份 

 3、杀掉所有kthreaddk的进程

killall -9 kthreaddk

 4、关闭gitlab外网映射端口 

建议gitlab外网映射端口不开放 很容易被攻击

5、重启gitlab

重新启动服务
#systemctl restart gitlab-runsvdir.service 

重启gitlab

#gitlab-ctl restart

 6、htop观察cpu运行情况 发现一段时间后趋于稳定 不在飙升 问题解决

忆丶chen
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rcu_linux_rcu_linuxmemory_
10-01
Slides about the read create update - RCU - technique implemented in linux
解决GITLAB无法启动runsv no running
10-11 1304
GITLAB无法启动runsv no running
拾遗:基础知识回顾-01
weixin_30654419的博客
08-25 247
SECTION A Aa、禁用ctrl alt delete三键重启:注释掉/etc/inittab中的如下部分 # What to do at the "Three Finger Salute". #ca:12345:ctrlaltdel:/sbin/shutdown -r now Ab、vim直接全篇搜索光标所在单词 快捷键 shift # Ac、bash...
一下待整的文章
寬真
12-10 1万+
<!DOCTYPENETSCAPE-Bookmark-file-1> <!--Thisisanautomaticallygeneratedfile. Itwillbereadandoverwritten. DONOTEDIT!--> <METAHTTP-EQUIV="Content-Type"CONTEN...
rcu_bj病毒
dualvencsdn的博客
10-22 2173
docker logs -f --tail=10 mesh-mynewcat 可以看到进程 不断被killed。(3) kill -9 44934 杀掉这个 rcu_bj 进程。cat /dev/null > rcu_bj (下面两个也是)重启机器后,内存里的程序消息,一切正常。有些内存中的进程 还在影响;(1) 定时任务注销。
吾爱2023新年红包题第六题 (CTF)
热门推荐
Codeoooo 博客
06-27 3万+
而且这里面还判断了key的长度,16位,正常key长度也是16位;上面这个 aWfkuqokj454836 15位,心态崩了,看来是假的,这个里面才是真的啊~~~~~~这几道题,完全就是整人玩,一个一直点999次,一个大喊大叫还说你是细狗,还得声音分贝大于100才解锁开始找flag;直接将这个 |wfkuqokj4548366 key 扔进去 get_RealKey方法,在比较的时候打断点,或者hook,拿到正确的可以;看伪C代码,memcmp比较, 是有个和真key比较的地方,返回bool;
linux centos7 解决病毒kthreaddkCPU占用
m0_66127371的博客
09-30 1715
病毒修复
Linux - kthreaddi 进程导致CPU超高问题 处记录
Daopin Blog
03-10 1万+
今天登录到阿里云的服务器时,使用top命令查看系统信息发现有个进程【kthreaddi】把CPU给占满了 登录阿里云控制台查看,发现从凌晨4点左右开始cpu就达到100%: 查看系统的日志(/var/log/message),果然也是从4点30分左右开始有关【kthreaddi】的信息: kthreaddi 病毒当前投递最终载荷依然为木马,sysrv模块会在其Guard守护流程内对进程做保护,当kthreaddi进程不存在,则释放机到tm...
阿里云ECS服务器CentOS CPU莫名跑高,出现大量rcuob进程
Keep learning
08-10 8442
最近服务器CPU动不动就100%,提交工单也没有解决方案,查阅大量资料后找到这篇文章 http://www.ilurker.cn/?post=303 根据他的方法成功解决此问题。感谢这位叫Lurker的朋友! 我这里也记录一下。方法一:vim /etc/default/grub,在GRUB_CMDLINE_LINUX这一行末尾添加nr_cpus=2,然后执行命令grub2-mkconfig -o
自有服务器(2台)被 kthreaddk木马解决过程(实操)不重启服务器
wscwsc58888的专栏
12-12 1085
自有服务器被 kthreaddk木马解决过程(实操)不重启服务器
kthreaddk 病毒的解决
zylfarzero的博客
07-21 1623
kthreaddk
ccu_rcu.rar_RCU CCU_hdlc_rcu_xc878 prot_自动控制
09-19
一种天线自动控制系统的控制程序,分主机(CCU)和从机(RCU)两部分。两者通过485接口通信,通信协议符合HDLC规范。
rcu_example:linux内核的rcu示例。 标签
04-30
rcu_example linux内核的rcu示例。 标记:rcu,列表rcu,linux内核rcu,内核rcu,读取副本更新,rcu示例 作者 金本公园
程序员为什么还要刷题-rcu_ptr:用于在线程之间交换数据的特殊智能指针
07-07
程序员常刷题rcu_ptr 介绍 读-复制-更新指针 ( rcu_ptr ) 是一个特殊的智能指针,可用于在线程之间交换数据。 Read-copy-update(RCU)是一种通用的同步机制,类似于读写锁。 它允许极低的读取开销。 然而,RCU 更新...
一次Linux服务器被hack的过程分析
01-31
hacker登入一台被入侵的服务器,通常首先使用”w”命令查看登陆者信息、使用”passwd”命令修改当前用户密码,然后通过wget,获取提权和其他hack工具。hacker一般将工具解压到目录名以”.”开头的目录中,达到隐藏的...
多级留言/评论的功能实现——SpringBoot3后端篇
最新发布
道阻且长 心态要好
05-03 1277
想要实现类似bilibili的评论区那样,在药材、方剂、文章详情页都实现多级留言/评论功能,但是不以递进的方式来展现层级关系
Nginx负载均衡主备模式
shijin741231的博客
04-30 751
通过配置Nginx配置文件,,定义upstream中每个后端Server的状态,可以实现后端服务的主备负载均衡。在上述测试中使用的是默认轮询算法。注意!ip_hash算法不支持backup状态定义。
Nginx反向代
hac1322的博客
04-28 1523
当 Nginx 的 location /api/ 规则匹配到请求 http://localhost:8011/api/user 后,Nginx 会从请求路径中去掉匹配到的部分,也就是去掉 /api/,然后将剩余的部分 /user 传递给后端服务器,即将/user拼接到proxy_pass。通常情况下,前端项目会被打包成静态文件(如 HTML、CSS、JavaScript、图像等),然后将这些文件部署到 Nginx 服务器上,让 Nginx 直接提供静态文件的访问服务。
问题记录-全局配置了跨域但是后端下载仍然跨域-(Java, SpirngBoot)
qq_43259860的博客
04-28 287
这个代码也是直接从网上粘贴的,结果就遇到坑了,这个故事告诉我们粘贴代码的时候还是要检查一下核心代码干了什么事情。前端请求后端下载文件,其它接口都不会跨域,唯独这个下载跨域了。好了今天的问题记录就到这里,我继续写Bug去了。把这个该死的reset()注释掉。
能否生成一个rcu_assign_pointer
06-03
我可以为您提供一个示例rcu_assign_pointer函数的代码,如下: ```c #include struct my_struct { int data; struct my_struct *next; }; struct my_struct *ptr = NULL; // 在RCU保护下更新指针 void update...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值