记一次linux系统进程资源被耗尽的事件

已于 2023-08-22 10:44:33 修改
阅读量403 收藏
点赞数 1
文章标签: linux 运维 服务器
于 2023-08-22 10:33:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011819712/article/details/132422130
版权

1.问题背景

在开发调试时,发现进程fork失败,正常指令如ls也执行失败。

ps查看,多出 很多sh进程和tail进程,每个都有两百多个,总共四百多个进程:

sh -c while [ -d /proc/$PPID ]; do sleep 1;head -v -n 8 /proc/meminfo; head -v -n 2 /proc/stat /proc/version /pro

sh -c while [ -d /proc/$PPID ]; do sleep 1;head -v -n 8 /proc/meminfo; head -v -n 2 /proc/stat /proc/version /pro

...

sh -c while [ -d /proc/$PPID ]; do sleep 1;head -v -n 8 /proc/meminfo; head -v -n 2 /proc/stat /proc/version /pro

tail -v -n 16 /proc/net/dev

tail -v -n 16 /proc/net/dev

...

tail -v -n 16 /proc/net/dev

这个问题会导致业务中断,且不可恢复,属于极度严重的问题,必须马上定位消除。

2.问题排查

1)花了大量时间,仔细分析系统上所有的脚本和可能调用脚本的代码,都没有发现有调用这两个指令的 -- 由此排除自身代码问题

2)开始怀疑是病毒注入,于是开始查找其原始父进程PPID

发现sh指令都是由dropbear -p 22 这个进程拉起的。

进一步分析,发现

sh -c while [ -d /proc/$PPID ]; do sleep 1;head -v -n 8 /proc/meminfo; head -v -n 2 /proc/stat /proc/version /pro

tail -v -n 16 /proc/net/dev

都是获取系统资源情况的,比如系统内存总量,剩余内存,缓存,内核版本,网口流量这些信息,再结合拉起这个指令的是dropbear -p 22(dropbear是ssh服务器22是ssh默认端口),到此可以确定:

有不明ssh 客户端连接到了系统,并且在不断监视系统资源信息,看着不像是病毒,有点hacker的味道了

3)分析所有能连接到系统的ssh客户端,设备处于内网,不可能有远程ssh连接,那只能是本地ssh的连接了

内网ssh连接,最直接的就是自己使用的mobaXterm

果然在mobaXterm最下面有监控系统资源的界面

4)验证:

关掉mobaXterm的remote monitoring,sh进程和tail进程消失

停掉mobaXterm,改用其他软件连接系统,sh进程和tail进程消失

3.结论

sh -c while [ -d /proc/$PPID ]; do sleep 1;head -v -n 8 /proc/meminfo; head -v -n 2 /proc/stat /proc/version /pro

tail -v -n 16 /proc/net/dev

这四百多个进程是mobaXterm连接系统后创建的,目的是为了获取系统资源情况。

使用的mobaXterm版本

但是暂时不知道mobaXterm为什么会创建多个重复进程,可能是mobaXterm的一个BUG

(╹◡╹)
关注
Linux性能优化实战:案例篇:内核线程 CPU 利用率太高,我该怎么办?(49)
weixin_30235225的博客
09-24 962
一、上节回顾 上一期,我们一起梳理了,网络时不时丢包的分析定位和优化方法。先简单回顾一下。网络丢包,通常会带来严重的性能下降,特别是对 TCP 来说,丢包通常意味着网络拥塞和重传,进而会导致网络延迟增大以及吞吐量降低。 而分析丢包问题,还是用我们的老套路,从 Linux 网络收发的流程入手,结合 TCP/IP 协议栈的原理来逐层分析。 其实,在排查网络问题时,我们还经常碰到的一个问...
linux 系统命令被后门修改_一次Linux系统被攻击的分析过程
weixin_39519619的博客
11-06 798
作者:南非蚂蚁 来源:https://urlify.cn/M7NjIvIT行业发展到现在,安全问题已经变得至关重要,从之前的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路...
MobaXterm的远程监控是如何实现的?
MyySophia的博客
04-26 1922
在使用moba的时候可以选择开启远程监控,如下图所示: 这其实对应的是一个bash脚本,脚本内容如下: bash -c while [ -d /proc/$PPID ]; do sleep 1;head -v -n 8 /proc/meminfo; head -v -n 2 /proc/stat /proc/version /proc/uptime /proc/loadavg /proc/sys/fs/file-nr /proc/sys/kernel/hostname; tail -v -.
Linux:磁盘资源耗尽故障
最新发布
鲍海超
06-01 733
有两种经典原因磁盘空间已被大量的数据占满,空间耗尽。解决办法:将没有用的大型文件转移或删除文件i节点耗尽故障 (文件过多)解决办法:删除。
Linux进程耗尽,LINUX下如何避免僵尸进程
weixin_30300857的博客
04-28 368
Linux下如何避免僵尸进程的产生1. 什么是僵尸进程比如进程采用exit()退出的时候,操作系统会进行一些列的处理工作,包括关闭打开的文件描述符、占用的内存等等,但是,操作系统也会为该进程保留少量的信息,比如进程ID号等信息,因而占用了系统资源。在一种极端的情况下,档僵尸进程过多的时候,占用了大量的进程ID,系统将无法产生新的进程,相当于系统资源耗尽。所以,避免僵尸进程的产生具有极其重要的...
Linux进程详解(非常详细且入门)---ps、top、kill、fg
mathlxj的博客
06-08 1744
常见的操作系统都支持多重任务处理(multitasking)——系统通过快速切换运行中的程序来实现多任务的同时执行。Linux内核通过使用进程来管理多重任务。进程Linux用来安排不同程序等待CPU调度的一种组织方式。 1.进程如何工作 系统启动时,内核先把它的一些程序初始化为进程,然后运行一个成为init的程序。init程序将依次运行一系列称为脚本初始化(init script)的shell脚本(放在/etc目录下),这些脚本会启动所有的系统服务。其中很多服务都是通过守护程序(daemon progra
linux内存泄漏进程挂掉,一次解决Linux内核内存泄漏实战全过程-嵌入式系统-与非网...
weixin_30332669的博客
04-30 289
什么是内存泄漏:程序向系统申请内存,使用完不需要之后,不释放内存还给系统回收,造成申请的内存被浪费.发现系统中内存使用量随着时间的流逝,消耗的越来越多,例如下图所示:接下来的排查思路是:1.监控系统中每个用户进程消耗的PSS (使用pmap工具(pmap pid)).PSS:按比例报告的物理内存,比如进程A占用20M物理内存,进程B和进程A共享5M物理内存,那么进程A的PSS就是(20 - 5) ...
Linux磁盘空间被未知资源耗尽的解决方法
09-15
本文将详细讲解当Linux磁盘空间被未知资源耗尽时,如何找到问题根源并解决。 首先,我们需要理解为什么磁盘空间会显示已被占用但无法通过常规手段(如`du`命令)找到。这通常是因为有进程仍然持有已删除大文件的...
管理Linux进程系统资源.pdf
09-06
本文主要讨论如何使用`ulimit`命令来限制Linux进程消耗的资源,包括文件大小和最大子进程数量,以防止资源耗尽导致系统崩溃。 首先,`ulimit`命令允许我们设置每个进程能创建的最大文件大小。这在防止用户意外或者...
基于Linux系统进程调度分析.pdf
09-06
Linux进程调度】Linux操作系统是一个多用户、多任务的系统,它通过公平且高效地调度多个进程,实现了系统的并发执行。Linux并不依赖单一的调度策略,而是结合了多种调度策略,如优先级调度、时间片轮转和先进先出...
shell脚本笔-2
Nightwish5的博客
11-02 968
监控100台服务器磁盘利用率脚本 #!/bin/bash HOST_INFO=host.info # 只要非#号开头的IP 。 这里的 /^[^#]/ ,^[^#]第一个^是锚点(断言) for IP in $(awk '/^[^#]/{print $1}' $HOST_INFO); do #获取用户名 设置变量ip,将$IP赋值给ip , 如果ip等于 $1,则输出 $2 USER=$(awk -v ip=$IP 'ip==$1{print $2}' $HOST_INFO) #获
Linux bash命令
韩帅平的博客
05-20 5万+
首先了解下shellShell 是一个用 C 语言编写的程序,它是用户使用 Linux 的桥梁。Shell 既是一种命令语言,又是一种程序设计语言。以下是几种shell版本,bash是默认的:sh(全称 Bourne Shell): 是UNIX最初使用的 shell,而且在每种 UNIX 上都可以使用。Bourne Shell 在 shell 编程方面相当优秀,但在处理与用户的交互方面做得不如其他...
Linux基本bash命令(持续更新)
热门推荐
毛球饲养员
06-24 7万+
首先了解下shell Shell 是一个用 C 语言编写的程序,它是用户使用 Linux 的桥梁。Shell 既是一种命令语言,又是一种程序设计语言。 以下是几种shell版本,bash是默认的: sh(全称 Bourne Shell): 是UNIX最初使用的 shell,而且在每种 UNIX 上都可以使用。 Bourne Shell 在 shell 编程方面相
linux中bash命令占用内存高,Linux实现脚本监测特定进程占用内存情况方法总结
weixin_29443201的博客
04-28 1017
1.Linux系统下,我们可以利用以下命令来获取特定进程的运行情况:1cat/proc/$PID/status其中PID是具体的进程号,这个命令打印出/proc/特定进程/status文件的内容,信息比较多,包含了物理内存/虚拟内存的使用状况,监控进程是否有内存泄露的问题,一般查看进程占用物理内存的情况:VmRSS: xxxkB可以采用grep命令过滤出我们需要的信息:1cat/proc/$P...
Linux进程信息的深入分析
bugouyonggan的专栏
04-23 3720
这里我们主要介绍进程的状态,进程的状态可以通过/proc/PID/status来查看,也可以通过/proc/PID/stat来查看. 如果说到工具大家用的最多的ps也可以看到进程的信息.这里我们通过/proc/PID/status来分析进程的信息. 在2.6.18之后的内核,多了capibilty/cpusets等信息.   查看进程状态信息如下: more status  Name:
while true ;do ls;sleep 1;done
drcwr的专栏
10-17 7069
while true ;do ls;sleep 1;done
linux 进程 内存 耗光,Linux内存耗尽原因分析
weixin_35476730的博客
04-28 1093
Linux内存的使用需要维持在一定的比例内,如果内存占用太高,系统也能运行,但是会影响速度。本文就来介绍一下Linux中内存耗尽应该怎么分析?在测试NAS性能,用fstest长时间写,分析性能变差的原因,发现server主机内存使用率很高。1.首先查看内存# top -Mtop - 14:43:12 up 14 days, 6 min, 1 user, load average: 8.36, 8....
Linux环境 网络流量统计/proc/net/dev和/proc/net/snmp
paradox_1_0的博客
10-20 6197
UDP: 命令:cat /proc/net/snmp | grep Udp InDatagrams:udp收包量 NoPorts: packets to unknown port received(未知端口接收数据包) InErrors:RFC4113描述:本机端口未监听之外的其他原因引起的UDP入包无法送达(应用层)目前主要包含如下几类原因:1.收包缓冲区满2.入包校验失败3.其他 OutDatagrams:udp发包量 RcvbufErrors:接收缓冲区溢出的包量 S...
Linux系统管理:进程监控与用户资源限制策略
本文将深入探讨Linux系统管理员在日常管理和维护中的两项关键技能:进程资源用量监控和按用户设置进程限制。作为Linux系统管理的核心组成部分,理解这些操作对于确保系统的稳定性和安全性至关重要。 首先,监控进程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值