服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)

已于 2024-05-15 17:15:00 修改
阅读量2.8w 收藏 54
点赞数 19
分类专栏: Linux 文章标签: 服务器 linux 运维
于 2022-04-03 20:08:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47831505/article/details/123939089
版权

服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)

前言:由于本人的阿里云服务器遭受攻击,被挖矿,导致CUP爆满,同时受到阿里云官方的邮箱、短信以及电话通知(监管部门是不允许服务器被直接或者间接挖矿)
首先是CUP爆满,远程登录不了,通过将服务器重启以后可以远程登录了。以kswapd0进程为例,其他进程类似,下面就是具体步骤了。

可参考阿里云的:挖矿程序处理最佳实践

注:如果你的服务器购买了付费版云安全中心,在云安全中心插件正常的前提下,可以利用付费版的主动防御及安全告警处理的功能来手动扫描下,对于检测到的威胁,你可以在安全告警处理页面进一步核实处理。应该可以直接处理掉。(如果没有,看下面的处理)

请添加图片描述
请添加图片描述

1.在系统里面top一下,查看了所有进程

在这里插入图片描述
看到这些进程一直在变化,但是,主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。

2.排查kswapd0进程

2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息

netstat -antlp | grep kswapd0

在这里插入图片描述
发现一个与本机端口通信的是一个荷兰的ip
在这里插入图片描述
2.2执行命令netstat -antlp | grep 194.36.190.30 查询该地区ip的其他网络占用情况

netstat -antlp | grep 194.36.190.30

在这里插入图片描述
发现只有这一个进程(当然,很有可能花卉有其他进程)

3. 查找进程的详细信息

我们来到/proc/目录下查找对应的pid号,即/proc/497。可以在这目录下找到kswapd0进程的详细信息。

ll /proc/497

在这里插入图片描述

4.查看进程的工作空间

ps -ef | grep kswapd0

在这里插入图片描述
执行完后可以看到进程的pid以及进程相关文件的位置

5.切换到木马程序目录并删除

在这里插入图片描述

rm -rf /var/tmp/.copydie

6.清理定时任务

很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)

查看定时任务:

crontab -l

清理计划任务: 

crontab -e

清除后将定时任务里的相关文件都清理干净,若有其他用户,将其他用户的定时任务也清理。

7.杀掉kswapd0进程

最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启

#kill -9 kswapd0进程的PID
kill -9 497

8.总结

  • 就是跟着进程找找目录,然后杀进程,清目录
  • 清定时任务
  • 服务器的ftp端口最好别用22,密码尽量设置复杂点
  • 尽量用密钥连接服务器,最好别用账号密码连接
  • 封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)
  • 密码增强复杂性
  • 及时修补系统和软件漏洞
飞川撸码
关注
  • 19
    点赞
  • 54
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
Linux病毒 - 挖矿木马 kswapd0
富强、文明、自由、平等、公正
06-05 376
就立刻联想到了,是挖矿木马,但是kswapd0是系统进程,感觉哪里又不太对,本想百度确认一下,结果发现很多人都遇到了这种木马,所以就记录一下。有些病毒还会关联其他进程,可以使用netstat、lsof等工具排查一下,彻底根除。这里分享一个小技巧,怎么样区分, kswapd0是管理虚拟内存的系统进程,还是挖矿木马病毒。今天客户的服务器CPU爆满,NGINX进程被杀死。通过pid很容易就能区分是不是木马病毒
kswapd0进程占用CPU非常高--解决方案.docx
08-13
异常进场占用cpu过高
linux kswapd0进程cpu占用一直居高不下
u010674101的专栏
06-27 703
kswapd0Linux 内核中的一个进程,负责管理虚拟内存和交换(swap)操作。当该进程CPU 占用率居高不下时,通常表示系统正在频繁地进行交换操作,可能由于内存不足或内存使用不合理。
linux vps服务器进程kswapd0与events/0消耗大量CPU的问题
01-11
今天下午网站宕了两次机,发工单给阿里云,发现原因是服务器CPU 100%了。 重启服务器后,使用 top 命令看看是哪些进程消耗那么大的 CPU 使用。盯了有好十几分钟,主要消耗 CPU进程有两个,一个是 mysql,另一个是 apache。下面的图可以看到,mysql 占用了很大部分的 CPU 使用。apache 单个进程虽然占得不多,但有不少个 apache 进程同时存在,也消耗了不少 CPU 的使用。 当然,这些不足以让服务器CPU 直接跑满挂掉,后来发现了两个大家伙: 当 mysql 的 CPU 消耗降下来之后,出现了两个奇怪的进程:kswapd0 和 events/0。
Linux服务器kswapd0病毒查杀处理
培根芝士的专栏
03-30 1220
公司的测试服务器突然登录不上去了,用宝塔查看了一下,发现CPU被占满了,登录腾讯云账号,发现有几条预警,说服务器被一个乌克兰的IP攻击了
解决centos服务器遭黑客安装挖矿木马导致kswapd0进程使用的cpu过高问题
皓亮君的博客
03-07 2762
文章目录简介1.查看kswapd0进程使用的PID2.查看进程的工作空间3.切换到木马程序目录并删除4.清理定时任务5.查看所有用户的定时任务6.清理看kswapd0进程7.修改服务器密码8.总结 简介 最近发现服务器特别卡,然后发现kswapd0占用的cpu高达800%,上网科普下kswapd0进程,kswapd0占用CPU时, 说明机器的全部内存(物理内存+虚拟内存)已经用尽了,机器不得不把内存里的内容卸载到硬盘, 然后才能加载所要的程序 但是我查看下top发现服务器的内存还有10个G没使用,查阅一些文
【安全】查杀linux挖矿病毒 kswapd0
飞的博客
04-11 2051
按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。高cpu占用,使用top命令查看cpu使用率长时间50%以上,cpu占用异常的进程八成就是挖矿病毒进程。此病毒隐藏了自己,top命令无法查看到挖矿病毒进程,可通过sysdig命令找到隐藏进程。注意,该进程有子进程spamd child,需要一同清理,否则会再次重启。同时检查如下目录,将可疑文件清理掉。
Linux进程kswapd0占用CPU过高导致卡顿问题
没刮胡子的程序员专栏
02-22 1311
最近发现服务器访问速度变慢,内存占得很满,操作经常卡顿,因为部署了不少的服务,有应用服务,也有数据库服务都很吃内存,但是查看还剩余2G左右内存,应该不至于卡顿,于是准备处理一下。看了系统经常发现一个进程kswapd0 一阵一阵的占用超高的CPU资源。查了一些资料说,系统物理内存不足时,kswapd0 会频繁的进行换页操作(使用swap分区与内存换页操作交换数据),而换页操作非常消耗 CPU 资源,所以导致该进程持续占用 CPU 资源过高。
玄机——第九章-查杀linux挖矿病毒 kswapd0(应急响应) wp
焦虑的焦虑
07-12 2094
第九章-kswapd0挖矿
记一个真实的应急响应案例(5)kswapd0恶意程序事件
OneMoreThink
01-29 1403
技术交流可以关注公众号 OneMoreThink 或后台添加微信,欢迎提出宝贵建议。目录恶意程序排查文件排查告警文件排查时间文件排查敏感目录排查特权文件排查网络排查进程排查网络进程排查所有进程排查隐藏进程排查进程资源排查后门排查账号后门排查SSH账户SSH密钥条件后门排查计划任务启动项自启服务命令别名溯源排查日志分析系统日志中间件日志数据库日志安全设备日志流量分析内存分析溯源结论后续待办终止恶意进...
Openwrt配置ZeroTier,实现公网访问内网中服务器
低温热源的博客
08-05 501
​ZeroTier注册&Openwrt初始配置 首先来到Openwrt的VPN→ZeroTier页面,进行一个很简单的注册 注册后去zerotier的网页管理页面进行一个很简单的创建网络 复制网络ID备用 在openwrt填写网络ID并启用。如果你需要访问内网主机勾上 自动客户端NAT 在zerotier网络管理界面授权通过openwrt上的zerotier。 路由创建 初始化启动后可以在openwrt看到zerotier给你分配的IP,记下(授权有延迟,因此接口信息可能滞后显示。 防火墙设置
动态加载第三方库——dlopen
qq_43587345的博客
08-02 374
dlopen是一个 POSIX 标准的函数,用于在程序运行时动态加载共享库(动态库)并返回一个句柄,以便后续对库中函数的调用。在 C 语言中,使用dlopen函数可以实现动态加载和调用动态库中的函数,这在插件系统或者需要动态加载库的情况下非常有用。
Linux手动编译方式安装httpd及配置系统服务(含不同安装方式简介)
shyuu的博客
08-04 859
Linux手动编译方式安装httpd及配置系统服务。包括几种软件安装方式的优缺点。手动编译安装方式相较其他方式有灵活性高、版本控制自由、依赖管理可控的优点等。
PXE网络部署/服务器自动部署
weixin_72619261的博客
08-05 496
PXE网络搭建,自动化部署服务器系统
基础进阶-搭建pxe网络安装环境实现服务器自动部署
最新发布
qq_64227183的博客
08-05 340
搭建pxe网络安装环境实现服务器自动部署
Nginx:现代 Web 服务器的高性能选择
qq_56438516的博客
08-02 508
Nginx 是一个开源的 Web 服务器软件,以其高性能、高可靠性、丰富的功能和简单的配置而闻名。它最初由俄罗斯程序员 Igor Sysoev 开发,并于 2004 年首次发布。Nginx 的设计目标是解决 C10k 问题——即同时处理成千上万的并发连接,而不会消耗大量系统资源。
kswapd0进程占用cpu非常高
06-09
kswapd0Linux内核中的一个线程,它负责内存的交换和清理工作。当系统内存不足时,kswapd0会将一些不常用的数据从内存中交换到磁盘中,以释放内存空间。如果kswapd0进程占用CPU非常高,可能是由于系统内存不足,导致kswapd0频繁地进行内存交换和清理操作,从而导致CPU占用率高。 解决这个问题的方法主要是增加系统内存或者调整内存管理参数。如果系统内存不足,可以考虑增加物理内存或者启用交换分区。如果系统已经启用了交换分区,可以考虑增加交换分区的大小。另外,还可以调整内存管理参数,如vm.swappiness参数,以控制内存交换和清理的频率。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值