本来一切正常的云主机,突然cpu 100% ,这事出无常必有妖,本能的反应便是中了挖矿病毒,上网络上搜索 top 命令中查看的 进程中占有100 的 kswapd0 这个线程,发现中招的不止我自己
一、关于 kswapd0
它是虚拟内存管理中,负责换页的,操作系统每过一定时间就会唤醒kswapd ,看看内存是否紧张,如果不紧张,则睡眠,在 kswapd 中,有2 个阀值,pages_hige 和 pages_low,当空闲内存页的数量低于 pages_low 的时候,kswapd进程就会扫描内存并且每次释放出32 个free pages,直到 free page 的数量到达pages_high。通过阻止kswapd0进程过渡活跃地消耗CPU的方法是设置大页内存。 但是这只是个表象,我们 用 netstat -antlp 查看之后会发现这个外部访问的异常ip,这个ip也真是有意思,我在网上查看这个的时候,发现很多的都是这样的ip,
二、删除挖矿病毒
其实这里通常的挖矿病毒,比较麻烦的是发现重启的脚本文件,也就是说如果不能删除这些文件,则这个线程是干不掉的。
这里大概是这几步
- 通过 netstat -antlp 发现需要进入的线程位置
- cd /proc/911 进入到相应的位置
- ls -l exe 发现文件位置
- cd /tmp/.X25-unix/ 或者其他路径 进入文件位置
- ls -a 发现文件
- rm -rf 文件
- 删除进程,之后再过一段时间查看是否还会死灰复燃。
大概一天以后又死灰复燃,有一个tsm的进程占据着线程,这里继续通过上面的方法暂时解决了,但是不到一天后,在后台发现有莫名的外国ip继续访问我的主机,这里最后想到的解决办法是 在外网防火墙的ip规则上,设置ssh 22 端口的访问ip,只有规则的ip才能进行访问
之后再看看情况
三、安全防护
- 安装和设置防火墙(ps:这里感觉尤其是注意 22 这类需要ssh 访问的端口的安全防护)
- 关闭不必要的服务和端口
- 账号和密码的保护
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
