腾讯云CentOS Linux release 7.6.1810 (Core) 服务器被攻击,内存占用太高

最新推荐文章于 2024-05-30 09:57:06 发布
最新推荐文章于 2024-05-30 09:57:06 发布
阅读量2.6k 收藏 4
点赞数 1
分类专栏: linux 文章标签: linux centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35456400/article/details/106634349
版权

没接到登录告警,腾讯云服务器又卡了,基本登录不上,然后就改了密码,又重启了几次。还要接着清病毒啊!

  1. 这个病毒不一定是在第一,看PID数较大的。NI
    在这里插入图片描述

  2. 看下进程优先级,优先级取值范围为(-20,19),越小优先级越高, 默认优先级是0
    命令1:nice 指定程序的运行优先级
    格式:nice n command
    命令2:renice 改变程序的运行优先级
    格式:renice -n pid
    top -p PID能查看这个PID的优先级,就是NI的值
    在这里插入图片描述
    这里是0

  3. 查看下这个进程,用进程名

[root@VM_0_3_centos ~]# ps -ef|grep YDService
root     21445 20209  0 09:47 pts/0    00:00:00 grep --color=auto YDService
root     29975     1  1 02:27 ?        00:05:26 /usr/local/qcloud/YunJing/YDEyes/YDService -stubMod

UID: 启动这些进程的用户
PID: 进程的ID
PPID: 父进程的进程号
C: 进程生命周期中的CPU利用率
STIME: 进程启动时的系统时间
TTY: 表明进程在哪个终端设备上运行。如果显示 ?表示与终端无关,这种进程一般是内核态进程。另外, tty1-tty6 是本机上面的登入者程序,若为 pts/0 等,则表示运行在虚拟终端上的进程。
TIME: 运行进程一共累计占用的CPU时间
CMD: 启动的程序名称

这个在这里就看到这个木马放的位置了,可以删除
在这里插入图片描述
可以看到文件的修改日期有新的,这个文件里面有病毒,具体的还关联了那些文件还要再用lsof找

  1. lsof命令用于查看你进程打开的文件,打开文件的进程,进程打开的端口(TCP、UDP)
    -i<条件>:列出符合条件的进程。(4、6、协议、:端口、 @ip )
    -p<进程号>:列出指定进程号所打开的文件;
    lsof -p 43641 #一般用于查看木马进程,在读哪些文件
    lsof -i :22 #用于查看端口,或查看黑客开启的后门端口是哪个进程在使用
[root@VM_0_3_centos YunJing]# lsof -p 29975
COMMAND     PID USER   FD      TYPE DEVICE SIZE/OFF   NODE NAME
YDService 29975 root  cwd       DIR  253,1     4096 656356 /usr/local/qcloud/YunJing/YDEyes
YDService 29975 root  rtd       DIR  253,1     4096      2 /
YDService 29975 root  txt       REG  253,1  7678296 669462 /usr/local/qcloud/YunJing/YDEyes/YDService
YDService 29975 root  mem       REG  253,1   105824   3939 /usr/lib64/libresolv-2.17.so
YDService 29975 root  mem       REG  253,1    31408   3927 /usr/lib64/libnss_dns-2.17.so
YDService 29975 root  mem       REG  253,1    61624   3929 /usr/lib64/libnss_files-2.17.so
YDService 29975 root  mem       REG  253,1  2156160   3911 /usr/lib64/libc-2.17.so
YDService 29975 root  mem       REG  253,1    88776     13 /usr/lib64/libgcc_s-4.8.5-20150702.so.1
YDService 29975 root  mem       REG  253,1  1137024   3919 /usr/lib64/libm-2.17.so
YDService 29975 root  mem       REG  253,1   991616   4235 /usr/lib64/libstdc++.so.6.0.19
YDService 29975 root  mem       REG  253,1   142232   3937 /usr/lib64/libpthread-2.17.so
YDService 29975 root  mem       REG  253,1    43776   3941 /usr/lib64/librt-2.17.so
YDService 29975 root  mem       REG  253,1    19288   3917 /usr/lib64/libdl-2.17.so
YDService 29975 root  mem       REG  253,1   163400   3501 /usr/lib64/ld-2.17.so
YDService 29975 root    0u      CHR    1,3      0t0   5342 /dev/null
YDService 29975 root    1u      CHR    1,3      0t0   5342 /dev/null
YDService 29975 root    2u      CHR    1,3      0t0   5342 /dev/null
YDService 29975 root    3w      REG  253,1  3232344 655797 /usr/local/qcloud/YunJing/log/ydservice.20200609.log
YDService 29975 root    4u  a_inode   0,10        0   5338 [eventpoll]
YDService 29975 root    5uW     REG   0,20        5  19620 /run/YDService.pid
YDService 29975 root    7u     IPv4  60723      0t0    TCP VM_0_3_centos:35870->169.254.0.55:lsi-bobcat (ESTABLISHED)


看下最后一行
VM_0_3_centos:35870->169.254.0.55:lsi-bobcat (ESTABLISHED)

好了,知道攻击服务器的地址了,也知道自己哪个端口用于发送文件了,禁禁禁
制止ip169.254.0.55

[root@VM_0_3_centos YunJing]#  iptables -A INPUT -p tcp -s 169.254.0.55 -j DROP

[root@VM_0_3_centos YunJing]# service iptables save
The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.

不能用save,就重新加载吧

[root@VM_0_3_centos YunJing]# service iptables reload
Redirecting to /bin/systemctl reload iptables.service
Authorization not available. Check if polkit service is running or see debug message for more information.
Failed to reload iptables.service: Connection timed out
See system logs and 'systemctl status iptables.service' for details.

这个重新加载也不行,重启也报错,试下关了之后再启动

  1. 然后删除文件,kill掉进程;
[root@VM_0_3_centos YunJing]# kill -9 29975
[root@VM_0_3_centos YunJing]# ps -ef|grep YDService
root     23213 20209  0 10:19 pts/0    00:00:00 grep --color=auto YDService
[root@VM_0_3_centos YunJing]# cd /usr/local/qcloud/YunJing/YDEyes
[root@VM_0_3_centos YDEyes]# ll
total 7512
-rw-rw-rw- 1 root root    8642 Jun  5 02:42 log.txt
-rwx------ 1 root root 7678296 Feb 25 16:24 YDService
[root@VM_0_3_centos YDEyes]# rm -f YDService 
[root@VM_0_3_centos YDEyes]# ps -ef|grep YDLive
root      1982     1  0 Jun08 ?        00:03:53 /usr/local/qcloud/YunJing/YDLive/YDLive
root     23265 20209  0 10:20 pts/0    00:00:00 grep --color=auto YDLive
[root@VM_0_3_centos YDEyes]# lsof -p 1982
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF   NODE NAME
YDLive  1982 root  cwd    DIR  253,1     4096 656363 /usr/local/qcloud/YunJing/YDLive
YDLive  1982 root  rtd    DIR  253,1     4096      2 /
YDLive  1982 root  txt    REG  253,1  3281208 669463 /usr/local/qcloud/YunJing/YDLive/YDLive
YDLive  1982 root  mem    REG  253,1   105824   3939 /usr/lib64/libresolv-2.17.so
YDLive  1982 root  mem    REG  253,1    31408   3927 /usr/lib64/libnss_dns-2.17.so
YDLive  1982 root  mem    REG  253,1    61624   3929 /usr/lib64/libnss_files-2.17.so
YDLive  1982 root  mem    REG  253,1  2156160   3911 /usr/lib64/libc-2.17.so
YDLive  1982 root  mem    REG  253,1    88776     13 /usr/lib64/libgcc_s-4.8.5-20150702.so.1
YDLive  1982 root  mem    REG  253,1  1137024   3919 /usr/lib64/libm-2.17.so
YDLive  1982 root  mem    REG  253,1   991616   4235 /usr/lib64/libstdc++.so.6.0.19
YDLive  1982 root  mem    REG  253,1   142232   3937 /usr/lib64/libpthread-2.17.so
YDLive  1982 root  mem    REG  253,1    43776   3941 /usr/lib64/librt-2.17.so
YDLive  1982 root  mem    REG  253,1    19288   3917 /usr/lib64/libdl-2.17.so
YDLive  1982 root  mem    REG  253,1   163400   3501 /usr/lib64/ld-2.17.so
YDLive  1982 root    0u   CHR    1,3      0t0   5342 /dev/null
YDLive  1982 root    1u   CHR    1,3      0t0   5342 /dev/null
YDLive  1982 root    2u   CHR    1,3      0t0   5342 /dev/null
YDLive  1982 root    3w   REG  253,1    22032 655795 /usr/local/qcloud/YunJing/log/ydlive.20200609.log
YDLive  1982 root    4uW  REG   0,20        0  18197 /run/YDLive.pid

同样删YDLive

[root@VM_0_3_centos YDEyes]# kill -9 1982
[root@VM_0_3_centos YDEyes]# cd /usr/local/qcloud/YunJing/YDLive
[root@VM_0_3_centos YDLive]# ll
total 3212
-rw-rw-rw- 1 root root      10 Jun  9 08:31 LastUpdateTime.txt
-rwx------ 1 root root 3281208 Feb 25 16:24 YDLive
[root@VM_0_3_centos YDLive]# rm -f YDLive
  1. top 再看下还是内存占用台太大,这个rsyslogd和kworker有点可疑,看下
    在这里插入图片描述
[root@VM_0_3_centos YDLive]# ps -ef|grep rsyslogd
root      3800     1  0 Jun08 ?        00:02:39 /usr/sbin/rsyslogd -n
root     23492 20209  0 10:24 pts/0    00:00:00 grep --color=auto rsyslogd
[root@VM_0_3_centos YDLive]# ps -ef|grep kworker
root         4     2  0 Jun08 ?        00:00:00 [kworker/0:0H]
root       296     2  1 Jun08 ?        00:20:33 [kworker/0:1H]
root     20082     2  0 09:23 ?        00:00:00 [kworker/u2:1]
root     20083     2  0 09:23 ?        00:00:00 [kworker/0:3]
root     23186     2  0 10:18 ?        00:00:00 [kworker/0:0]
root     23338     2  0 10:21 ?        00:00:00 [kworker/u2:2]
root     23438     2  0 10:23 ?        00:00:00 [kworker/0:1]
root     23520 20209  0 10:25 pts/0    00:00:00 grep --color=auto kworker
root     25023     2  0 00:45 ?        00:00:00 [kworker/u2:0]

不是文件,好像是系统的命令,先杀进程看下会不会重启吧

[root@VM_0_3_centos YDLive]# kill -9 296
[root@VM_0_3_centos YDLive]# kill -9 3800

好像不行
在这里插入图片描述

[root@VM_0_3_centos YDLive]# lsof -p 23579
COMMAND    PID USER   FD      TYPE             DEVICE SIZE/OFF   NODE NAME
rsyslogd 23579 root  cwd       DIR              253,1     4096      2 /
rsyslogd 23579 root  rtd       DIR              253,1     4096      2 /
rsyslogd 23579 root  txt       REG              253,1   663904  15792 /usr/sbin/rsyslogd
rsyslogd 23579 root  mem       REG              253,1 83886080 393691 /var/log/journal/0ea734564f9a4e2881b866b82d679dfc/system@fb4ba63256334975987fc388a4771613-0000000000056db8-0005a5fbb0c4760e.journal

哎,重启后不卡了,可是内存还是占用太高。
在这里插入图片描述

kworker 是 Linux 内核的一部分,说明内核本身占用了很多 CPU。

这可能是内核或驱动程序的bug所致,但也可能是因为某些用户态程序不断的系统调用所致。

我看到你确实在运行很多消耗CPU的程序,试着把他们逐个关掉,看 kworker 的 CPU 占用是否跟着下降。

实在不行就重装系统了。
这个就不知道什么原因了。

自己把数据库的文件导出来然后重装吧,还是保存下快照文件比较好。

Storm Mun
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
Linux kworker 占用CPU过高
热门推荐
智慧雨泽的博客
04-17 8万+
先打开HTOP htop 如何按H K(大写) 我们看到Kworker/0:0+events,下面参考下人家的回答 什么是kworker?kworker表示进行“工作”(处理系统调用)的Linux内核进程。在进程列表中可以有多个:kworker/0:1在第一个CPU内核上kworker/1:1是一个,在第二个CPU内核上是一个,依此类推。 为什么kworker占用您的CPU?...
腾讯云YDService服务占用资源过多的解决办法
gdali的专栏
02-12 6249
在主机安全-资产中心-主机列表,找到自己的机器,点击卸载即可。YDService腾讯云的主机安全防护服务。
linux centos生产环境常用命令 持续更新中~
最新发布
dy1996的博客
05-30 580
系统文档推荐的做法是,修改/etc/sudoers.d 目录下的文件通过此方法修改sudoers ,需要在/etc/sudoers文件的最后行,加上。任何在/etc/sudoers.d/目录下,不以~号结尾的文件和不包含.号的文件,都会被解析成/etc/sudoers的内容。最好用用户名当文件名。此时新建的用户就能获取root权限,ALL可以改成具体的命令,命令要用绝对路径。firewall-cmd --zone=public --add-port=端口号/tcp --permanent。
腾讯云主机安全防护(云镜)/usr/local/qcloud/YunJing/YDEyes/YDService 卸载
石宗昊的博客
10-18 1万+
官方教程 我top查看内存占用与CPU占用,发现一个叫YDService 的进程占用过大,我的云机没有什么重要业务,为有大内存,我卸载掉腾讯云默认给我装的防护 借鉴 :https://blog.csdn.net/zhangpeterx/article/details/89704532 注意:如果卸载了云镜,记得安装自己想要的Linux监控软件,不推荐让Linux裸奔在公网上 有2种卸载方法 1.在主机安全(云镜)-资产管理-主机列表里找到自己的机器,点击卸载即可。 如果你是Windows的机器,那么推荐通
Linux 进程管理
m0_74282605的博客
10-28 191
系统启动之后,init 进程会启动很多 daemon 进程,为启动运行提供服务,比如 httpd、ssh 等等,然后就是 agetty,让用户登录,登录后运行 shell(bash),用户启动的进程都是通过shell 运行的。命令会发现 PID 1 的进程就是我们的 init 进程 systemd ,PID 2 的进程是内核现场 kthreadd ,这两个在内核启动的时候都见过,其中用户态的不带中括号,内核态的带中括号。克隆出的进程能够把它正在运行的那个程序替换成另一个不同的程序。
Centos7.6(1810)国内镜像下载地址,一小时快速下载
12-16
很多Centos7.6的下载地址是国外的,下载很慢。这个Centos7.6(1810)_X64下载地址是国内的,可以在一小时内下载
虚拟机镜像-centos镜像-可直接导入virtualbox虚拟机-centos7.6-1810.ova
03-20
CentOS Linux release 7.6.1810 (Core) [root@localhost ~]# 账号root密码root 已安装wget(配置阿里yum源需要用到) yum -y install wget 已配置阿里yum源 已安装vim 已关闭了防火墙 已配置了静态ip:192.168.56.100...
Python在centos7.6上安装python3.9的详细教程(默认python版本为2.7.5)
01-21
Linux release 7.6.1810 (Core) [root@registry ~]# python --version Python 2.7.5 为什么要升级呢?因为要部署一些软件,需要python3的支持!!!不得不装啊!!! 部署python3.9,并进入到python3虚拟环境: ...
CentOS7.6系统下使用yum配置lnmp环境的方法
01-10
CentOS Linux release 7.6.1810 (Core) [root@ln-125 ~]# nginx -v nginx version: nginx/1.14.2 [root@ln-125 ~]# php-fpm -v PHP 5.4.16 (fpm-fcgi) (built: Oct 30 2018 19:32:20) Copyrig
如何将CentOS7升级至CentOS8(详细步骤)
01-10
这篇文章以具体的示例来介绍一下从CentOS 7升级值CentOS 8的方法。 事前准备 最小化安装CentOS 7,具体版本如下所示:7.6.1810 [root@liumiao ~]# uname -a ...CentOS Linux release 7.6.1810 (Core) [root@liumiao
Linux——kdevtmpfsi(挖矿)进程解决方法与解决过程
Hern(宋兆恒)
03-23 9813
问题 CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。 原因 服务器密码被别人知道 防火墙设置问题 …… 解决方法 1、查看进程,记录下占用CPU的进程PID(包括挖矿主进程PID)命令: top 或 ps aux | less 2、查看异常链接(有助于发现问题缘由),命令: netstat -natp 或 netstat -n...
linux主要系统服务介绍
04-28 1129
linux主要系统服务介绍--------------------------------------------------------------------------------apmd--apmd用来监视系统用电状态,并将相关信息通过syslogd写入日志。也可以用来在电源不足时关机arpwatch--用来维护以太网物理地址和ip地址的对应关系atd--运行用户用at命令调度的任务。也在
linux kworker cpu,Kworker,它是什么,为什么它占用这么多 CPU?
weixin_30610943的博客
05-15 1万+
问题:有时候它几乎使用一半的CPU。答案1:运行"kworker"是内核工作线程的占位符进程,它执行内核的大部分实际处理,尤其存在中断,计时器,I/O的情况下。答案2:在进程列表中可以有几个:kworker/0:1是第一个CPU内核,kworker/1:1是第二个。kworker为什么要占用你的CPU?echo l > /proc/sysrq-trigger 执行此操作几次,然后在dmesg...
kworker是什么,又什么用
lyblyblyblin的博客
02-22 6万+
名字的意思 什么时候有的 这么看 系统中查看 显示的内容怎么看 有什么用 参考名字的意思Kernel Worker什么时候有的kworker是3.x内核引入的这么看系统中查看Linux下使用 ps -ef|grep kowrker显示的内容怎么看显示的格式kworker/%u:%d%su:是unbound的缩写,代表没有绑定特定的CPU,kworker /u2:0中的 2 是 work_pool 的
腾讯云主机安全防护(云镜卸载)--/usr/local/qcloud/YunJing/YDEyes/YDService
个人博客
04-30 2万+
官方文档:主机安全 快速入门 - 文档中心 - 腾讯云 原先我一直是在用腾讯云默认的云镜安全防护,但是最近不知道为什么这个应用占了我100多M的内存,本来就是1G小内存的机器,少了100M后就更缺内存了,于是我决定把云镜防护给卸载了。 有2种卸载方法。 一种是通过控制台卸载,在主机安全(云镜)-资产管理-主机列表里找到自己的机器,点击卸载即可。 另一种方法是运行命令卸载: bash /usr/lo...
Linux学习之CentOS 7.6.1810内核升级
qq_42108074的博客
06-25 2070
解压源代码,这个过程可能有些久,没有任何报错,返回到命令提示符就是正常解压完成,如下图所示。处设置一下,Terminal-type string处填入“linux”。然后按左箭头按钮,选择之后,再按回车键,就推到了命令提示符处。我这里使用当前内核的配置文件当成升级内核的配置文件,解压源代码,这样的话就可以看到解压过程。退出选择页面,到了下边的页面。,就可以回到命令提示符这里了。退出选择页面,到了下边的页面。可以保存配置,并退出到命令行。,可以先解决上边乱码问题。等了至少五分钟,才完成。
CentOS - 环境配置及软件安装卸载记录(Aliyun镜像源)
写虫师的博客
09-05 7323
目录1. 更改源2. 系统初始化3. 安装软件3.1 安装zsh及oh-my-zsh4. 卸载软件 系统 版本 备注 CentOS CentOS Linux release 7.6.1810 (Core) Red Hat 4.8.5-36 查看版本命令 [nangy@localhost ~]$ cat /etc/redhat-release CentOS Linux rel...
Linux 应用】 kworker 进程
平凡的世界
09-18 2563
kworker” 是 Linux 内核的工作线程,用于异步处理工作队列中的任务。这些任务包括处理硬件中断、文件系统事件、管理系统内存等。你可能会看到多个 kworker 进程,每个进程的名称后面都有一个数字,如 “kworker/0:1”、“kworker/1:2” 等。这个数字表示了 kworker 是在哪个 CPU 核心上运行的以及任务的顺序。kworker是3.x内核引入的,用来执行工作队列中的work,一般由kthreadd建立。
如果CentOS Linux release 7.6.1810 (Core)不使用默认的mysql版本会怎么样
07-12
如果在CentOS Linux release 7.6.1810 (Core)上不使用默认的MySQL版本,可能会遇到以下情况: 1. 兼容性问题:其他版本的MySQL可能具有不同的功能和语法,因此,您编写的应用程序或脚本可能无法与非默认版本的MySQL兼容。 2. 安全性问题:默认的MySQL版本是经过CentOS团队验证和测试的,确保安全性和稳定性。使用非默认版本可能存在安全漏洞或不稳定性。 3. 更新和维护问题:非默认版本的MySQL可能不会自动接收操作系统的更新和安全补丁,您需要手动更新和维护它,这可能增加管理工作量和风险。 因此,如果没有特殊需求,建议使用默认的MySQL版本,以确保最佳的兼容性、安全性和稳定性。如果您有特定的需求,可以根据您的需求选择其他版本,并确保在部署之前进行充分测试和评估。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值