kswapd0进程在CentOS下CPU占用率过高

最新推荐文章于 2024-06-20 18:02:57 发布
最新推荐文章于 2024-06-20 18:02:57 发布
阅读量3.8k 收藏 11
点赞数 5
分类专栏: Linux 文章标签: linux centos 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moshi_monian/article/details/107202560
版权

kswapd0进程在CentOS下CPU占用率过高

问题并不是内存不够那么简单

今早到公司,开晨会,发现华为云上的测试环境应用访问不到了.晨会开完后,就连上了测试环境进行问题排查.发现了一个名为 kswapd0 的进程,CPU占用率300%多…
当时服务器运行状态截图
其实这个问题前些天也出现过,当时在CSDN中找答案,发现都说是内存不够用了的问题. 当时有过怀疑是木马或者病毒,但没有深究. 因为那段时间,服务器密码也不知道是被谁改了,出过一些问题…

但这次又是这个进程在作妖,我就意识到了问题肯定就不是内存不够杀掉进程那么简单了. 毕竟这台服务器4核心还有16G的内存,平时占用5G都到不了,即使CPU300%多,内存也还是足够的! 于是就准备根据这个 kswapd0 进程开始深挖,在CSDN上找了N多资料…最终在一个评论下根据连接找到了一些线索.

这里贴上链接:https://blog.csdn.net/jzz601264258/article/details/105850816 (这是我找到的第一个关于这个进程是木马的一些描述和解决方案)
后面还有
https://blog.csdn.net/adsszl_no_one/article/details/105344467
以及腾讯电脑管家的文章:
https://www.freebuf.com/articles/network/205384.html

我自己解决问题的过程记录

因为当时测试小姐姐需要开始今天的测试工作,所以我上来就先把 kswapd0 进程干掉了(不干掉的话,应用虽然能起来,但是访问直接报500).然后重启完应用后,再查的上面那些资料

这里建议先找到木马所在的位置然后再干掉进程
(命令里面的括号都只是做一个补充说明,并不是需要输入的命令)

0. top
当时top命令查看到的信息
当时top命令查看的信息

1. ps -ef|grep kswapd0
执行完后可以看到进程的pid,由于我这上来就直接把进程给干掉了…所以没有截图,我用rsync的代替吧,道理一样的
这里可以看到pid 19637,以及程序所在的目录信息 /tmp/.X25-unix
这里可以看到rsync 的 pid 为 19637,以及程序所在的目录信为 /tmp/.X25-unix

2. cd /tmp/.X25-unix
找到问题文件
找到位置后就好办了,开始一个个的关掉进程

3. kill -9 9939(kswapd0的PID)
结束 kswapd0 程序运行,这里可以参考第一步中 top 命令查看到的PID

4. kill -9 19637(rsync的PID)
通过上面链接可以知道rsync这个工具也是被挖矿程序所利用的,所以也直接kill

进程关掉后,CPU占用率就下来了.

5. rm -rf /tmp/.X25-unix
接下来再来删除挖矿程序所在的 .X25-unix 这个文件夹
(rm -rf 命令使用的时候一定小心! 按回车前,心里默念三遍Hello world,每念一遍就确认一遍,千万别把这命令给整错了!!)

6. crontab -l
因为前些天这个进程我关掉过,然后这次又冒出来了,当时我猜测应该是有定时任务的,参考上面资料也确实有定时任务,使用 crontab -l 查看定时任务
挖矿程序设置的定时任务
7. cd /root/.configrc
可以看到定时任务除了 /tmp/.X25-unix 目录外,还有一个地方目录很醒目,那就是 /root/.configrc
进入/root/.configrc目录
在这里插入图片描述
看到这个时间… 以及 a 目录下的kswapd0 毫不犹豫直接rm -rf干掉整个**.configrc**目录

8. rm -rf /root/.configrc
删掉**/root/.configrc** 目录,再次提醒!!!(rm -rf 命令使用的时候一定小心! 按回车前,心里默念三遍Hello world,每念一遍就确认一遍,千万别把这命令给整错了!!)

9. find / -name kswapd0
查找,看哪里还有kswapd0的文件,发现 /dev/shm/ 下还有,截图…当时没截…

10. rm -rf /dev/shm/*
删掉 /dev/shm/ 目录下的所有文件

11. crontab -e
程序感觉都找到了并清理干净了,现在就再来处理定时任务吧.
crontab -e编辑 定时任务,输入完回车后,按 i 键,跟vim编辑类似,删掉里面全部内容后, 按 Esc 键,再输入 wd 保存并退出.

12. vi /root/.ssh/authorized_keys
这块找了一些资料说会修改公钥,发现自己文件内容和别人的一模一样,所以,清空里面所有内容后wq保存并退出
参考别人写的一些分析

到这里感觉应该服务器就没什么问题了,但是看腾讯电脑管家那篇文章说的,应该是利用弱口令进行暴力破解控制的服务器.

13.所以最后一步,修改服务器密码,越难越好!

14.关于为什么服务器会被植入木马的一些猜测
第一点就是密码被弱口令暴力破解
但是其实我们这有几台服务器密码都一样的,不应该只有这台被入侵了… 感觉有些不合理.

第二点猜测是redis的原因.
几台服务器密码都是一样的,其他服务器没事,就这台出了问题. 并且从木马执行的命令来看,它关了nginx,tomcat之类的进程,然后重启后启动了redis…
我重启tomcat应用的时候才注意到,redis服务一直是开着的. 所以很有可能跟我redis没设置密码,以及可以被任何公网IP访问到有关.
参考redis bind的误区
去掉 bind 前面的 # 号,启用 bind 127.0.0.1 配置,然后kill掉redis进程,并重启redis服务.

我这里这台测试服务器是华为云上的,实施小伙伴之前在第一次发现密码被改了之后就给22端口加上了一些安全策略,比如22端口只能特定的IP地址才能连接.

这个截图是我自己的账号截的,反正大概就是这个意思,限制能够通过22端口来进行远程控制的IP地址.
这个截图是我自己的账号
第一篇博客文章,主要用来记录一下自己处理 kswapd0 挖矿程序的一次经历.

徐伟君丶
关注
  • 5
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux病毒 - 挖矿木马 kswapd0
富强、文明、自由、平等、公正
06-05 335
就立刻联想到了,是挖矿木马,但是kswapd0是系统进程,感觉哪里又不太对,本想百度确认一下,结果发现很多人都遇到了这种木马,所以就记录一下。有些病毒还会关联其他进程,可以使用netstat、lsof等工具排查一下,彻底根除。这里分享一个小技巧,怎么样区分, kswapd0是管理虚拟内存的系统进程,还是挖矿的木马病毒。今天客户的服务器CPU爆满,NGINX进程被杀死。通过pid很容易就能区分是不是木马病毒。
linux vps服务器进程kswapd0与events/0消耗大量CPU的问题
01-11
今天下午网站宕了两次机,发工单给阿里云,发现原因是服务器CPU 100%了。 重启服务器后,使用 top 命令看看是哪些进程消耗那么大的 ...当 mysql 的 CPU 消耗降下来之后,出现了两个奇怪的进程:kswapd0 和 events/0。
kswapd0进程占用CPU非常高--解决方案.docx
08-13
异常进场占用cpu过高
腾讯云被植入kswapd0以及解决方案
wang_xiaowang的博客
09-11 760
腾讯云被植入kswapd0以及解决方案一、发现二、解决 一、发现 今天早上发现腾讯云的服务器特别卡,响应速度很慢,检查之后发现被植入了kswapd0。 pid为2592和2538的异常进程 45.9.148.129,查询后发现ip地址来自荷兰 执行脚本放在了/home/用户名/.configrc下面 crontab -l发现定时任务也被更改,tmp/下也有异常程序 cat /var/log/secure |grep “Accept” 可查看异常登录信息 二、解决 被黑的问题主要是密码设置较简单,首
SElinux内核态的实现-SID的计算篇
最新发布
m0_37923396的博客
06-20 1040
我们已经知晓了安全上下文、class的概念。本文将解释内核如何通过安全上下文计算SID。
kswapd0占用cpu很高解决
ss810540895的博客
06-28 864
在按这种方式解决之前,先确定你的kswapd0是系统自带的正常进程,还是kswapd0病毒,kswapd0病毒怎么排查网上文章很多病毒可参考:https://blog.csdn.net/jzz601264258/article/details/105850816。
kswapd0 引起 CPU高占用解决方法
h799710的博客
09-06 5323
【代码】kswapd0 引起 CPU高占用解决方法。
kswapd0占用CPU过高问题处理
热门推荐
Lzero's伊甸园
04-19 1万+
kswapd0占用CPU过高,会严重影响服务器及虚拟机的使用。这里提供一种解决方式。
解决centos服务器遭黑客安装挖矿木马导致kswapd0进程使用的cpu过高问题
皓亮君的博客
03-07 2756
文章目录简介1.查看kswapd0进程使用的PID2.查看进程的工作空间3.切换到木马程序目录并删除4.清理定时任务5.查看所有用户的定时任务6.清理看kswapd0进程7.修改服务器密码8.总结 简介 最近发现服务器特别卡,然后发现kswapd0占用的cpu高达800%,上网科普下kswapd0进程,kswapd0占用CPU时, 说明机器的全部内存(物理内存+虚拟内存)已经用尽了,机器不得不把内存里的内容卸载到硬盘, 然后才能加载所要的程序 但是我查看下top发现服务器的内存还有10个G没使用,查阅一些文
Oracle kswapd0,调整linux内核尽量用内存,而不用swap
weixin_39682301的博客
04-08 429
线上一台服务器kswapd0占用大量的cpu资源,导致负载过高,什么是kswapd0Linux uses kswapd for virtual memory management such that pages that havebeen recently accessed are kept in memory and less active pages are paged outto disk...
centos kswapd0 挖矿木马病毒进程CPU100解决
1193379199的博客
01-20 1064
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
Linux中的交换进程kswapd代码分析.pdf
09-07
本文主要分析了Linux中的交换进程kswapd的代码实现,探究了kswapd在Linux系统中的作用和工作机制。 在Linux系统中,kswapd是后台核核心进程,也是Linux内存管理策略的重要组成部分。Linux中的内存管理采用分页机制...
Linux实例带宽和CPU跑满或跑高排查.pdf
10-26
对于CPU跑满或跑高问题,特别是`kswapd0`进程占用CPU较高的情况,这通常是由于内存不足导致的频繁页面交换。当内存不足时,`kswapd0`会尝试将数据交换到磁盘,这将消耗大量CPU资源。要解决这个问题,可以先通过`free...
kswapd0进程对于CPU占有率高的情况下排查到黑客植入脚本,与黑客斗智斗勇的三个回合
子冉冰清的博客
03-30 6279
kswapd0进程对于CPU占有率高的情况下排查到黑客植入脚本,与黑客斗智斗勇的三个回合 第一回合 最开始大概是半个月前,我突然发现我的百度云服务器上的MySQL连接不上。 但是前一晚还用了。因此可以确定不是账号密码,以及服务器上设置的问题。 于是乎,就登陆到云服务器上,准备去查看一下mysql的运行情况。然后突然敲命令也很卡,感觉可能系统响应太慢了,用toptoptop指令去看下 (上面这个图是我第三回合排查的时候截的图,前面两个回合都没有注意,所以没有截图。) 当我看到这个的时候,吓了一跳。怎么突然
有关kswapd0的问题
我爱吃葱花的博客CSDN
01-30 3465
最近安装了双系统红毛企业6和win7,win7运行一切正常,但是切换到redhat6.0系统中后电脑的风扇就加速的转动,查看进程发现有一个进程ksapd0运转占cup100%,这个进程怎么也杀死,在网上查了有关kswapd0的内容, kswapd0:系统每过一定时间就会唤醒kswapd,看看内存是否紧张,如果不紧张,则睡眠,在kswapd中,有2个阀值,pages_hige和pages_low,
关于Kswapd的理解(一)
And乔的博客
03-29 1800
关于Kswapd的理解(一) 之前跟踪了MemAvailable的计算方式,其中watermark的计算花了很多精力,在学习的过程中看到一些资料中说watermark是给swapd使用的,于是乎,研究一下看看咯 本部分主要记录两个方面: 对于kswapd这个东西,从初学者(我)的角度出发会考虑哪些内容? 跟踪kswapd 初始化结构部分; 1. KSwapd机制 上图是还没有跟踪kswapd code的时候,对自己提出的一些疑问和自身的理解,主要是如下内容: kswapd 机制用来做什么:内存不足时
Linux系统CPU负载的查询和案例分析
qq_34685283的博客
09-27 399
CPU负载的查询分析 在Linux系统中,查看进程的常用命令如下所示。本文主要介绍vmstat和top。 vmstat top ps -aux ps -ef 使用vmstat命令查看 通过vmstat命令,从系统维度查看CPU资源的使用情况。命令格式类似如下,表示结果一秒刷新一次。 vmstat -n 1 示例如下。 procs -----------memory---------- ---swap-- -----io---- -system-- ------cpu----- r
kswapd0、kjournald、pdflush、kblocked、migration进程含义
垦荒
09-26 3498
理想情况下,您应该明白在您的系统中运行的每一个进程。要获得所有进程的列表,可以执行命令 ps -ef(POSIX 风格)或 ps ax(BSD 风格)。进程名有方括号的是内核级的进程,执行辅助功能(比如将缓存写入到磁盘);所有其他进程都是使用者进程。您会注意到,就算是在您
io密集型和cpu密集型_和小胖一起理解CPU负载和利用率
weixin_39612023的博客
10-28 602
作者:小胖前言凌晨一点,正整着炸鸡的小胖,微信一呼“你的服务器CPU持续超载 … “麻溜的连上服务器,先把CPU负载摁下来。仔细一想,最近1分钟平均负载很大,但CPU利用率却≤30%,不经陷入了深思,打开学习之门…1理解CPU平均负载啥是CPU平均负载呢?日常运维我们常用uptime或top命令查看系统当前负载,也可以使用 cat /proc/loadavg# uptime16:04:...
kswapd0 cpu 占用率很高
03-28
kswapd0Linux内核中的一个守护进程,其主要作用是管理内存交换(Swap)的操作。当系统内存不足时,kswapd0会将一部分内存数据写入Swap空间,以释放物理内存。因此,当系统内存不足时,kswapd0CPU占用率会较高。 如果kswapd0CPU占用率持续较高,可能是因为系统内存不足,或者Swap空间不足。你可以通过以下方法来解决: 1. 增加物理内存:增加系统内存可以减少kswapd0的工作量,从而降低其CPU占用率。 2. 调整Swap空间大小:如果Swap空间不足,可以通过扩大Swap空间的大小来解决。可以使用命令swapon -s来查看当前系统中Swap空间的使用情况。 3. 优化系统内存使用:优化系统内存使用可以减少kswapd0的工作量,从而降低其CPU占用率。可以通过优化程序内存使用、减少不必要的进程等方式来实现。 4. 更新内核版本:有些Linux内核版本存在kswapd0 CPU占用率过高的问题,更新内核版本可能会解决该问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值