linux centos7 解决挖矿病毒kthreaddk 高CPU占用

最新推荐文章于 2024-06-13 10:23:16 发布
最新推荐文章于 2024-06-13 10:23:16 发布
阅读量1.7k 收藏 4
点赞数 1
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66127371/article/details/127121559
版权
博客内容描述了一位管理员如何排查并解决服务器CPU异常占用的问题。通过crontab-r删除可疑定时任务,查找并关闭陌生端口50859,移除恶意目录,并kill掉相关进程kthreaddk,最终通过防火墙命令阻止该端口,成功恢复服务器性能。
摘要由CSDN通过智能技术生成

top查看cpu占用,发现kthreaddk cpu占用爆满,kill -9 pid没用,会自动重启,被植入的定时脚本。

 输入crontab -l 发现有一个定时任务,如果没有其他的定时任务 ,可以crontab -r 直接删除。

 但是问题依旧没有解决,一会又kthreaddk重启了。

输入netstat -ntpl查看端口号,发现一个50859端口号没有见过,问题就在这里,定时脚本就是从这个端口植入进来的。

 ps -ef |grep 50859 发现一个 /boot/grub2/i386-pc/twq907 目录

先 rm -rf /boot/grub2/i386-pc/twq907

再 kill -9 1653(50859端口的pid)

关闭50859端口

firewall-cmd --remove-port=50859/tcp --zone=public --permanent

firewall-cmd --reload

关键步骤

ls -al ll  /proc/pid(kthreaddk )/exe

rm -rf 上面查到路径

kill -9 pid(kthreaddk )

crontab -l

crontab -r

立即重启服务器!!!

重启后top查看cpu恢复正常。

#Crazydone
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记录一次挖矿病毒kthreaddk和rcu_bj,导致CPU处理
Mr_chenchen的博客
03-01 2733
kthreaddk和rcu_bj进程,cpu 占用一般cpu或者50-70%
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 7797
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒运维人员都知道,那么下面开始排查及清理。 中了此病毒服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
如何在centos中和windows server中找到挖矿木马和消灭挖矿木马
最新发布
weixin_45631123的博客
06-13 816
解决挖矿木马
CentOS 7 挖矿病毒.rsyslogds与xmrig处理
G
06-16 2101
CentOS 7 挖矿病毒.rsyslogds与xmrig处理
Centos7病毒[tsm][kswapd0] 被黑造成cpu过高,杀死自有排查
qq_25831105的博客
01-04 697
Centos7病毒排查[tsm][kswapd0] tsm被黑记录–记录 less /var/log/secure|grep ‘Accepted’ 查询登陆情况,一般会有异常ip登陆,而且会安装公钥在你机器上,后续会一直通过公钥登陆你的机器,你修改密码都没用,记得清理 ~/.ssh/authorized_keys 2.pwdx *** (通过top查到命令进程,然后通过该命令查询源文件路径,然后删除他) 3.查看crontab -e 里面还有关联文件,会自启动,一并删除,并删除定时计划任务,然后
挖矿病毒分析(centos7
ntgengyf的博客
07-25 859
本次服务器被入侵,被人植入了密钥文件,导致入侵者可以免密登录服务器,在redis中看到了一个很奇怪的key,它的value的意思是一个定时任务通过curl下载某个sh脚本,并执行,看到网上的一位博主,总结的很好,它总结的原因如下。比较有名的挖矿蠕虫病毒,攻击手段为通过redis感染服务器,如果redis的端口为默认的6379且暴露在公网上,且没有设置客户端连接密码认证,很容易感染,这个病毒是分级别的,好在我遇到的是比较简单的,解决方法如下。.相关的代码,查看进程发现果然多了一个redis-cli的进程。
阿里云Centos7.5 被蠕虫病毒挖矿,kdevtmpfsi进程导致CPU使用率爆棚
qq_38181949的博客
08-20 900
一、问题 操作系统: 阿里云服务器 Centos7.5 使用top命令查看进程,发现有一个kdevtmpfsi Command进程的CPU占用很大。这个进程并不是自己的一个服务。 使用Kill命令,杀死这个进程之后,再过10几秒CPU进程中又出现了该进程。 二、解决办法 查看定时任务列表 # 查看定时任务列表 crontabe -l # 会发现里边有一个恶心的定时任务 删除定时任务 crontabe -e #删除掉定时任务,wq保存退出 查看kdevtmpfsi 进程信息 ps -e
Linux - kthreaddi 进程导致CPU问题 处理记录
热门推荐
Daopin Blog
03-10 1万+
今天登录到阿里云的服务器时,使用top命令查看系统信息发现有个进程【kthreaddi】把CPU给占满了 登录阿里云控制台查看,发现从凌晨4点左右开始cpu就达到100%: 查看系统的日志(/var/log/message),果然也是从4点30分左右开始有关【kthreaddi】的信息: kthreaddi挖矿 病毒当前投递最终载荷依然为挖矿木马,sysrv模块会在其Guard守护流程内对挖矿进程做保护,当kthreaddi进程不存在,则释放矿机到tm...
Linux Centos7系统端口占用问题的解决方法
09-15
总结来说,解决Linux CentOS7系统端口占用问题的步骤如下: 1. 使用`netstat -lnp`检查占用端口的进程。 2. 通过`ps`命令查看进程详情。 3. 如需结束占用端口的进程,使用`kill -9`命令。 4. 再次检查端口占用情况...
centos7 linux 获取各个网口速率 占用率 信息 NetSpeed
10-24
本人自己写的,获取centos7各个网口的速率,占有率等等信息。理论支持centos7及以上各种版本。把软件放在你想放的目录下,然后赋予权限(777),最后./NetSpeed即可。不提供源代码,不提供源代码。。。
Linux-Centos监控CPU利用率脚本
12-13
赋权后运行./CPU_test >>/opt/CPU.log,产生log文件分析CPU利用率
centos7-linux镜像文件
07-08
【标题】:“centos7-linux镜像文件”指的是CentOS 7操作系统的虚拟机镜像文件,这种文件通常用于在虚拟化环境中安装和运行CentOS 7系统。它包含了操作系统的所有核心组件、预装软件以及必要的配置信息,使得用户...
阿里云服务器centos7挖矿病毒处理
08-05 3179
【阿里云】尊敬的1*********6:云盾云安全中心检测到您的服务器:1xx.xx.xx.x5(gateway)出现了紧急安全事件:主动连接恶意下载源,建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.gYVW7 进行处理 。云安全中心提供企业版7天免费试用,您可以开通试用查看更多信息。如果您在处理过程中遇到问题,可以咨询阿里云官方电话95187-1 处理过程: 1、查找异常进程,确定病毒进程,定位病毒脚本的执行用户 2、杀掉病毒进程,注意要检查清楚,病...
记录一次处理centos7服务器被植入Xmrig挖矿病毒问题
qq810908892的博客
05-19 1000
现象CPU占用100%,内存占用不大,top命令没有占用CPU很大的进程,有个名称为xmrig,但占用CPU很小 安装unhide软件,并使用unhide proc命令,查找出隐藏进程,查出很多进程 kill 任意一个进程,CPU马上降至个位数,但重启服务器之后,又到100%,猜测被注册为系统服务了 第二步查出很多进程,但是他们的command、执行路径等都一样,一般第一个为主进程 systemctl status 主进程ID,查出是哪个系统服务,kill -9主进程ID,删除服务
(centos7)阿里云 ECS中毒CPU一直占用100%的解决过程
Gogym的博客
05-15 6509
这两天发现部署在阿里云上的ECS服务器CPU一直占用100%,一开始以为只是偶然的,没在意。 后面发现CPU一直满载,这不应该呀。于是赶紧看看是怎么回事。 使用 top 命令查看cpu使用情况: 发现有一个 vTtHH1 的进程占用 200%的cpu,这是什么鬼,貌似哥不曾相识啊。 于是乎,通过命令 :cd /proc/32676 -> ll 查看这到底是什么玩意,...
华为云CentOS 7 Oracle19c CPU异常飚问题排查及解决
xc1989xc的博客
07-27 1040
oracle19c导致cpu问题
彻底清除SSHD挖矿病毒_清除定时下载启动病毒程序_centos7安全防护_CPU占用率超过百分之300_centos7.4中毒CPU百分之百_清理毒源---Linux工作笔记068
添柴程序猿的专栏
12-11 557
sshd占用cpu百分之300多...而且就算是kill -9 杀掉进程以后,进程又会自动启动。我们执行这个命令,可以看到有个/var/tmp/sshd的文件。rm -rf sshd删除这个文件,然后我们再去top可以看到。我们进入cd /var/tmp。
Centos 7.4 服务器 被植入挖矿木马
weixin_30595035的博客
10-16 518
背景 最近由于在弄springboot shiro的redis session共享的问题,所以在服务器上部署了redis,因为没有太多的考虑所以没有设置密码。 等到第二天的时候,发现redis外网无法访问内网可以。 查看端口绑定情况netstat-antlp|grep6379 发现绑定没有问题 查看本地的路由,发现绑定到了127.0.0.1 发现绑定问题之后,就增加一...
centos7系统被入侵,挂载挖矿木马-pamdicks-(1)临时处理
ntgengyf的博客
07-25 584
根据隐藏进程以及隐藏文件不可见的特性,进行搜索分析,得出系统内核被篡改,将文件名称和进程信息给屏蔽。以后得加强注意这三方面的安全问题,本次木马程序并未涉及文件防篡改配置,不然也只能重装系统进行处理了。开发使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。删除原文件,并创建一个顶包空文件,然后使用系统chattr对其进行锁定禁止修改。及文件删除,但是重启后又自行恢复,还有其他机器,也经过一夜,死灰复燃了。用户直接启动,导致内核被修改,问题难度复杂化。
centos挖矿病毒
04-26
CentOS挖矿病毒是一种恶意软件,它会感染CentOS操作系统并利用系统资源进行加密货币的挖矿。这种病毒通常通过网络攻击、恶意软件下载或者潜在的漏洞来传播。 一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个挖矿程序,这些程序会利用计算机的处理能力和电力资源来进行加密货币的挖矿操作。这样的行为会导致计算机性能下降、电力消耗增加,并且可能会给用户带来经济损失。 为了防止CentOS挖矿病毒的感染,你可以采取以下措施: 1. 及时更新操作系统和软件补丁,以修复潜在的漏洞。 2. 安装可靠的防病毒软件,并定期进行全盘扫描。 3. 谨慎下载和安装软件,尤其是来自不可信的来源。 4. 避免点击可疑的链接或打开未知的附件。 5. 使用强密码,并定期更改密码。 6. 定期备份重要数据,以防止数据丢失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值