和kswapd0挖矿病毒做斗争的一天

最新推荐文章于 2024-01-11 16:22:42 发布
最新推荐文章于 2024-01-11 16:22:42 发布
阅读量1.7k 收藏 4
点赞数 2
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42962779/article/details/115624341
版权

近期 通过 top 检查服务器状态,发现一个 kswapd0 进程占用cup 超高,负载接近100%
这种情况很是不科学啊,cup达到100%,基本上可以断定是被病毒入侵了

之前自己安装过es 服务,然后发现 启动 kswapd0 进程的用户是es,感到很奇怪,es 怎么会占用这么多cup呢???

后来百度查了下 kswapd0 发现这个东东是病毒,试着看看 系统路径下哪些目录存在这个东东 kswapd0,为什么es用户会有这些东东呢?(黑客通过破解es用户密码,进入服务器,植入挖矿病毒

[root@VM-0-6-centos ~]# find / -name kswapd0
/home/es/.configrc/a/kswapd0
/tmp/.X25-unix/.rsync/a/kswapd0

可以尝试先杀掉这个病毒进程

kill -9 kswapd0

你会发现过一会它又自己启动了,那么可以考虑肯定是定时任务重新又给跑起来了,那么我们来看看 系统 都有哪些定时任务

查看linux 所有用户的定时任务

  cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}

输出结果,会看到es 用户有这么几个特殊的定时任务,我之前并没有搞过啊。。。 ,通过网上查证,下面这几个注释掉的定时任务都是 用来启动
kswapd0 病毒的,那么我们,只需要把这些定时任务关掉就好了


[root@VM-0-6-centos ~]# cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}
*/5 * * * * flock -xn /tmp/stargate.lock -c '/usr/local/qcloud/stargate/admin/start.sh > /dev/null 2>&1 &'
no crontab for bin
no crontab for daemon
no crontab for adm
no crontab for lp
no crontab for sync
no crontab for shutdown
no crontab for halt
no crontab for mail
no crontab for operator
no crontab for games
no crontab for ftp
no crontab for nobody
no crontab for systemd-network
no crontab for dbus
no crontab for polkitd
no crontab for libstoragemgmt
no crontab for rpc
no crontab for ntp
no crontab for abrt
no crontab for sshd
no crontab for postfix
no crontab for chrony
no crontab for tcpdump
no crontab for syslog
no crontab for mysql
no crontab for jenkins
no crontab for rabbitmq
#es 挖矿病毒定时任务

#1 1 */2 * * /home/es/.configrc/a/upd>/dev/null 2>&1
#@reboot /home/es/.configrc/a/upd>/dev/null 2>&1
#5 8 * * 0 /home/es/.configrc/b/sync>/dev/null 2>&1
#@reboot /home/es/.configrc/b/sync>/dev/null 2>&1
#0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1

关于定时任务

linux 支持定时任务 再服务器安装系统时候,会自带并且启动定时任务,
每个用户都有自己的定时任务,文件名已用户名命名,它们可以创建,删除自己的定时任务,定时任务本来是可以让管理员 定期执行一些脚本,备份什么的,不过到了黑客这里就不那么友好了,总是通过定时任务反反复复启动一些病毒,没完没了。。。。

定时任务的目录在 /var/spool/cron 下面,我的服务器上面,只有root用户,和es 用户有定时任务

在这里插入图片描述

看看es 文件中的内容

#es 挖矿病毒定时任务

#1 1 */2 * * /home/es/.configrc/a/upd>/dev/null 2>&1
#@reboot /home/es/.configrc/a/upd>/dev/null 2>&1
#5 8 * * 0 /home/es/.configrc/b/sync>/dev/null 2>&1
#@reboot /home/es/.configrc/b/sync>/dev/null 2>&1  
#0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1

进入到es 文件,将所有内容全部删除,或者注释掉,(停掉es 用户相关的定时任务,因为es 用户已经被黑客破解密码,入侵,里面的这些定时任务,是用来启动病毒的)

然后,将 kswapd0 进程kill 掉,就行了,然后它就在也起不来了

最后修改es 用户的密码,注意!!!服务器上面所有用户的密码,都不要设置的很简单,黑客很容易通过简单的密码攻破你的服务器,植入病毒,切记!!1

Sir_小三
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
小韩的博客
04-03 2万+
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
kswapd0进程对于CPU占有率高的情况下排查到黑客植入脚本,与黑客斗智斗勇的三个回合
子冉冰清的博客
03-30 6264
kswapd0进程对于CPU占有率高的情况下排查到黑客植入脚本,与黑客斗智斗勇的三个回合 第一回合 最开始大概是半个月前,我突然发现我的百度云服务器上的MySQL连接不上。 但是前一晚还用了。因此可以确定不是账号密码,以及服务器上设置的问题。 于是乎,就登陆到云服务器上,准备去查看一下mysql的运行情况。然后突然敲命令也很卡,感觉可能系统响应太慢了,用toptoptop指令去看下 (上面这个图是我第三回合排查的时候截的图,前面两个回合都没有注意,所以没有截图。) 当我看到这个的时候,吓了一跳。怎么突然
解决centos服务器遭黑客安装挖矿木马导致kswapd0进程使用的cpu过高问题
皓亮君的博客
03-07 2750
文章目录简介1.查看kswapd0进程使用的PID2.查看进程的工作空间3.切换到木马程序目录并删除4.清理定时任务5.查看所有用户的定时任务6.清理看kswapd0进程7.修改服务器密码8.总结 简介 最近发现服务器特别卡,然后发现kswapd0占用的cpu高达800%,上网科普下kswapd0进程,kswapd0占用CPU时, 说明机器的全部内存(物理内存+虚拟内存)已经用尽了,机器不得不把内存里的内容卸载到硬盘, 然后才能加载所要的程序 但是我查看下top发现服务器的内存还有10个G没使用,查阅一些文
kswapd0病毒处理
GeeLoong`s Blog
07-17 7304
kswapd0挖矿病毒
Centos7中病毒排查[tsm][kswapd0]
adsszl_no_one的博客
04-06 9886
大清早看到腾讯云的短信,说检测到木马文件 心想管他呢,昨天刚重装的腾讯云主机,就上了一个服务,坑人的吧 开始我的一天的学习,我插,我的app竟然连不上我的pg了,我就去我的腾讯云主机上看看。 我的容器呢,一看,容器停了,算啦,手动重启下 我去,什么情况 想到今早的病毒信息,就去看了下腾讯云的消息 看一下主机的资源使用情况 赶紧去百度,没找到相关问题 ks...
kswapd0 是系统的虚拟内存管理程序,也可能是伪装的挖矿病毒
255.255.255.0
03-29 2353
1.kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。 2.也有挖矿病毒伪装成相同名称,挖矿注意排查 ......
Linux服务器kswapd0病毒查杀处理
培根芝士的专栏
03-30 1165
公司的测试服务器突然登录不上去了,用宝塔查看了一下,发现CPU被占满了,登录腾讯云账号,发现有几条预警,说服务器被一个乌克兰的IP攻击了
linux vps服务器进程kswapd0与events/0消耗大量CPU的问题
09-15
使用了阿里云的vps服务器网站宕了两次机,发工单给阿里云,发现原因是服务器的CPU 100%了,这也是vps的弊端,内容给的相对小
kswapd0进程占用CPU非常高--解决方案.docx
08-13
kswapd0Linux内核的一个后台进程,它的主要职责是负责内存交换,即当物理内存不足时,将不活跃的页面(内存页)移动到磁盘上的交换空间,以便为新的内存请求腾出空间。当kswapd0的CPU占用率过高,可能有以下几个...
Linux中的交换进程kswapd代码分析.pdf
09-07
"Linux中的交换进程kswapd代码分析" ...kswapd是Linux系统中的一个重要进程,对系统的稳定运行和内存管理起着关键作用。了解kswapd的代码实现和工作机制,对于深入理解Linux系统的内存管理和进程管理具有重要的意义。
Linux实例带宽和CPU跑满或跑高排查.pdf
10-26
对于CPU跑满或跑高问题,特别是`kswapd0`进程占用CPU较高的情况,这通常是由于内存不足导致的频繁页面交换。当内存不足时,`kswapd0`会尝试将数据交换到磁盘,这将消耗大量CPU资源。要解决这个问题,可以先通过`free...
Linux kswapd0进程CPU占用过高,病毒清理
zhangjunli的博客
08-21 8244
<div id="bgchange" style="width: 660px;"> <div class="fontsize_bgcolor_controler"> <div class="a_bgcolor"> <img src="http://pubimage.360doc.com/NewArticle/bgcolor.jpg"> <div class="a_colorlist"> <span class="a_color1" oncli
Linux系统恶意代码】“亡命徒(Outlaw)僵尸网络” Kswapd0挖矿病毒的发现与清除
AGATHA_66的博客
01-11 1778
系统被SSH暴力破解后,攻击者会在系统目录下添加.configrc5文件夹,文件结构内容如下,名为“a”的文件夹下存放开源门罗币挖矿程序kswapd0(xmrig)和启动脚本,名为“b”的文件夹下存放后门程序run和执行脚本。执行stop脚本,睡眠10秒,列出当前工作的路径并输出到dir.dir的文件中,执行kswapd0挖矿程序,把最后运行的后台进程的PID写入到一个.pid文件中。
linux处理kdevtmpfsi,kswapd0挖矿病毒清除
bluesease的博客
12-12 2956
kdevtmpfsi,kswapd0挖矿病毒问题处理
kswapd0进程在CentOS下CPU占用率过高
moshi_monian的博客
07-08 3734
kswapd0进程在CentOS下CPU占用率过高问题并不是内存不够那么简单我自己解决问题的过程记录 问题并不是内存不够那么简单 今早到公司,开晨会,发现华为云上的测试环境应用访问不到了.晨会开完后,就连上了测试环境进行问题排查.发现了一个名为 kswapd0 的进程,CPU占用率300%多… 其实这个问题前些天也出现过,当时在CSDN中找答案,发现都说是内存不够用了的问题. 当时有过怀疑是木马或者病毒,但没有深究. 因为那段时间,服务器密码也不知道是被谁改了,出过一些问题… 但这次又是这个进程在作妖,
linux清除cpu,解决kswapd0 CPU占用率高的问题-清除病毒
weixin_34837388的博客
05-12 753
连接服务器时发现cpu使用率100%,使用top命令查看是kswapd0进程占用cpu极高百度下后知道kswapd0进程的作用:它是虚拟内存管理中,负责换页的,操作系统每过一定时间就会唤醒kswapd ,看看内存是否紧张,如果不紧张,则睡眠,在 kswapd 中,有2个阀值,pages_hige 和 pages_low,当空闲内存页的数量低于 pages_low的时候,kswapd进程就会扫描内存...
记一次挖矿病毒清除,欢迎来讨论
CSDNyingying的博客
01-26 1784
第一次发现服务器异常就是cpu爆满,但没有影响到服务器上的项目正常使用,所以没在意就关掉不用的进程。第二次发现异常是客户反馈项目不能用了,排查问题的时候发现cpu爆满,nginx被停止(当时没有在意这个)。。。废话不多说开始进入正题--------处理kswapd0挖矿程序 一、发现病毒 服务器负载异常的高 1.使用top命令查看实时cpu占用情况,发现kswapd0进程是用root用户起的 2.查看应用连接发现有外网IP连接 3.查询IP归属地,发现是荷兰的IP,后来又看到一个...
应急响应-挖矿病毒(kswapd0
weixin_45690589的博客
10-10 1130
应急响应-挖矿病毒(kswapd0
有关kswapd0的问题
我爱吃葱花的博客CSDN
01-30 3464
最近安装了双系统红毛企业6和win7,win7运行一切正常,但是切换到redhat6.0系统中后电脑的风扇就加速的转动,查看进程发现有一个进程ksapd0运转占cup100%,这个进程怎么也杀死,在网上查了有关kswapd0的内容, kswapd0:系统每过一定时间就会唤醒kswapd,看看内存是否紧张,如果不紧张,则睡眠,在kswapd中,有2个阀值,pages_hige和pages_low,
HeapTaskDaemon和kswapd0的关系
最新发布
03-08
HeapTaskDaemon和kswapd0Linux内核中两个重要的组件,它们在内存管理和任务调度方面发挥着重要的作用。 HeapTaskDaemon是一个守护进程,用于监控和管理系统中可用的内存资源。它负责监视系统的内存使用情况,并根据需要分配和回收内存。HeapTaskDaemon通过调度和分配任务来管理系统的内存资源,确保系统能够高效地使用和处理任务。 kswapd0Linux内核中的一个后台线程,也称为交换区守护进程。它的主要任务是维护交换区(swap area)的健康状态。当物理内存(RAM)不足时,kswapd0会触发交换操作,将不再使用的内存页交换到硬盘上的交换区中,以便为新的任务或数据分配更多的内存空间。 HeapTaskDaemon和kswapd0之间的关系是密切的。HeapTaskDaemon负责分配和管理内存资源,而kswapd0则负责维护交换区的健康状态,并在需要时进行交换操作。当HeapTaskDaemon发现内存资源不足时,它会触发kswapd0进行交换操作,以释放更多的内存空间。通过这种方式,HeapTaskDaemon和kswapd0协同工作,确保系统能够高效地使用和处理任务,并在内存资源有限的情况下保持稳定运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值