阿里云服务器被入侵为矿机解决([kswapd0])

已于 2022-11-16 21:50:54 修改
阅读量608 收藏
点赞数 1
分类专栏: 问题解决 文章标签: 服务器
于 2022-04-09 13:07:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Salmon1122/article/details/124059193
版权

输入top命令查看进程占用资源,发现并没有多少
在这里插入图片描述输入

vim /etc/ld.so.preload

发现有隐藏进程

立即清除ld.so.preload文件

chattr -ia /etc/ld.so.preload #root权限下也不允许访问时,使用
echo "" > /etc/ld.so.preload #清空该文件

再次输入top,发现占用最高的是[kswapd0]
在这里插入图片描述
直接执行kill 9杀不掉此进程,他会改头换面换一个pid继续执行。

输入以下命令,查看该进程的相关文件

ls -l /proc/$PID/exe

找到后直接删除该文件,并再次kill该进程即可

阿里云对于该病毒描述与建议

salmon1802
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
小韩的博客
04-03 2万+
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
kswapd0进程占用CPU非常高--解决方案.docx
08-13
kswapd0是Linux内核的一个后台进程,它的主要职责是负责内存交换,即当物理内存不足时,将不活跃的页面(内存页)移动到磁盘上的交换空间,以便为新的内存请求腾出空间。当kswapd0的CPU占用率过高,可能有以下几个...
linux vps服务器进程kswapd0与events/0消耗大量CPU的问题
09-15
使用了阿里云的vps服务器网站宕了两次机,发工单给阿里云,发现原因是服务器的CPU 100%了,这也是vps的弊端,内容给的相对小
kswapd0
gRpc的博客
11-12 1011
swap分区的作用是当物理内存不足时,会将一部分硬盘当做虚拟内存来使用。 kswapd0 占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过高。...
解决阿里云服务器CUP爆满被用来当挖矿机(中病毒解决)
NicolasLearner的博客
10-14 329
1. 发现cup爆满 当我部署项目时启动不了,tomcat启动不了,然后我发现cup爆满,然后查看用top查看进程 然后我再查看pstree进程树 2.杀死进程 kill -9 pid 杀死进程suppoie 进程后,过一分钟该进程又起来了 3. 查找源文件 杀死进程又起来,肯定是有源文件在远程调用其他远程文件植入病毒,查询源文件 find / -name '*suppoie*' 查找到了文件 在/var/tmp 目录下 如下图 然后删除 suppoie , su...
kswapd0进程占用大量cpu资源导致挂机
weixin_33788244的博客
08-04 1764
利用top查看, mysql 进程占内存很多, 90%以上, kswapd0 占cpu很多, 250%以上, 相应的mysqld, apache等占内存也很多. 因为是测试机, 开始以为是请求很多, 导致死机. 重启之后, 又很快的死掉了.今天反应系统后台有点慢查看kswapd0的作用, 它是虚拟内存管理中, 负责换页的. 事情大概清楚了, 因为机器内存只有1G, mysql...
服务器矿机解决方法
weixin_42072543的博客
04-28 723
服务器矿机解决方法原因解决方案 解决方法 原因 刚买的服务器配置完redis和安全组忘记改回来了,又没加认证,被人把公钥写进服务器远程登陆导致cpu全在跑矿机程序。 解决方案 提前注意:删除不掉的文件一般是被黑客锁住了,用chattr -ia +文件名 解锁,解锁之后chmod 600就可读写了 第一件事不要管别的,先检查定时任务,crontab -l,里面一定会有定时脚本重启矿机程序,使用...
Linux中的交换进程kswapd代码分析.pdf
09-07
"Linux中的交换进程kswapd代码分析" 本文主要分析了Linux中的交换进程kswapd的代码实现,探究了kswapd在Linux系统中的作用和工作机制。 在Linux系统中,kswapd是后台核核心进程,也是Linux内存管理策略的重要组成...
19为什么系统的Swap变高了?1
08-04
当内存分配请求无法满足时,会触发直接内存回收,而kswapd0则会定期检查并回收内存,以保持系统的稳定运行。 总的来说,Swap分区是Linux系统在物理内存有限的情况下,通过利用硬盘空间扩展内存容量的一个策略。它...
关于木马病毒kswapd0的处理
最新发布
We choose to go to the moon in this decade and do the other things, not because they are easy, but beacase they are hard.
03-13 1560
关于木马病毒kswapd0的处理
进程kswapd0与events/0消耗大量CPU的问题
chongjubao8359的博客
05-15 205
今天下午网站宕了两次机,发工单给阿里云,发现原因是服务器的CPU 100%了。 重启服务器后,使用 top 命令看看是哪些进程消耗那么大的 CPU 使用。盯了有好十几分钟,主要消耗 CPU 的进程有两个,一个是 mysql,另一个是 apache。下面的图可以看到,mysql 占用了很大...
腾讯云被植入kswapd0以及解决方案
wang_xiaowang的博客
09-11 772
腾讯云被植入kswapd0以及解决方案一、发现二、解决 一、发现 今天早上发现腾讯云的服务器特别卡,响应速度很慢,检查之后发现被植入了kswapd0。 pid为2592和2538的异常进程 45.9.148.129,查询后发现ip地址来自荷兰 执行脚本放在了/home/用户名/.configrc下面 crontab -l发现定时任务也被更改,tmp/下也有异常程序 cat /var/log/secure |grep “Accept” 可查看异常登录信息 二、解决 被黑的问题主要是密码设置较简单,首
服务器被植入木马--记录解决kswapd0 CPU占用率高的问题
mInfoDavid的专栏
05-11 866
自购百度云服务器一台,做网站测试用,配置不高,某天突然发现网站访问出问题了,登录使用top命令查看,发现CPU几乎被耗尽,如下: 其中kswapd0的进程很可疑,进一步查看了网络情况,发现其对外访问了45开头的一个IP,为荷兰的IP,经过网络简单搜索,可以肯定是中了挖矿木马, 接着查看该进程对应的目录情况, 清除过程: 1.先杀死进程:kill -9 3307 2. 清除crontab 清除以上几个自动启动任务 3. 清除目录 # rm .X25-u...
kswapd0病毒查杀过程
Tangroo的博客
06-28 5013
一、发现病毒 1、服务器负载异常高 2、使用top命令查看到kswapd0进程是用test用户起的 3、查看应用连接发现有外网IP连接 4、查询IP归属地,发现是荷兰的IP 5、查看程序的路径,发现是在test用户的家目录里 6、查看crontab计划任务 7、查看/tmp目录是否有异常文件   结果是 /tmp目录下有一个脚本test用户的文件 8、查看进程,发现有个redis的进程 二、处理病毒 1、删除所有的crontab计划任务 crontab -e -u test 2、杀掉病毒进程
kswapd0 进程CPU占用过高
热门推荐
没有用户名的博客
07-12 10万+
kswapd0 进程CPU占用过高 。操作系统都用分页机制来管理物理内存,操作系统将磁盘的一部分划出来作为虚拟内存,由于内存的速度要比磁盘快得多,所以操作系统要按照某种换页机制将不需要的页面换到磁盘中,将需要的页面调到内存中,由于内存持续不足,这个换页动作持续进行,kswapd0是虚拟内存管理中负责换页的,当服务器内存不足的时候kswapd0会执行换页操作,这个换页操作是十分消耗主机CPU资源的。如果通过top发现该进程持续处于非睡眠状态,且运行时间较长,可以初步判定系统在持续的进行换页操作,可以将问题转
我是如何解决 kswapd0 占用率过高的问题的
weixin_33935505的博客
01-17 3712
首先我遇到了 kswapd0 占用率过高的问题: 我在网上找到的文章,基本上都是说出现这个问题是因为物理内存不足。 它喵的我的物理内存宽裕得很好不好! 最后实在不知道怎么回事,于是死马当作活马医,发送了一个 kill 给这个进程: # kill 73 然后肚子痛,上大号去了。 上完大号回来一看: 总之进程还在运行,但 CPU 掉下...
kswapd0进程CPU占用
mixboot
03-29 1273
kswapd0进程CPU占用1,kswapd0进程CPU占用 1,kswapd0进程CPU占用 临时修改 # cat /proc/sys/vm/swappiness 60 # sysctl vm.swappiness=10 vm.swappiness = 10 # cat /proc/sys/vm/swappiness 10 参考: linux系统swappiness参数在内存与交换分区间...
记一次阿里云服务器被挖矿的经历
key_768的博客
04-17 1万+
被挖矿 大早上起来,发现被“挖矿”了,云服务器在大晚上发了几条警告消息 真TM恶心,它伪装成一个程序,占有99%的内存,通过借助大量计算能力去做别的事情 解决 top命令查占有进程 会出现这种占有99.9%的进程 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND ...
阿里云服务器被挖矿怎么办
网站安全专家
02-11 5066
春节刚开始,我们SINE安全,发布了2018年服务器被挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议。 在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器被挖矿的情况还是持续性的增长趋势,背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器...
linux清除cpu,解决kswapd0 CPU占用率高的问题-清除病毒
weixin_34837388的博客
05-12 759
连接服务器时发现cpu使用率100%,使用top命令查看是kswapd0进程占用cpu极高百度下后知道kswapd0进程的作用:它是虚拟内存管理中,负责换页的,操作系统每过一定时间就会唤醒kswapd ,看看内存是否紧张,如果不紧张,则睡眠,在 kswapd 中,有2个阀值,pages_hige 和 pages_low,当空闲内存页的数量低于 pages_low的时候,kswapd进程就会扫描内存...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值