干货丨安全故障导致 CPU 偏高问题处理

最新推荐文章于 2024-09-05 20:44:40 发布
最新推荐文章于 2024-09-05 20:44:40 发布
阅读量176 收藏
点赞数
文章标签: 服务器 cpu 运维
原文链接:https://mp.weixin.qq.com/s?__biz=MjM5NTk0MTM1Mw==&mid=2650642760&idx=1&sn=eded7029e579b2d1181d848364ed83ea&chksm=bef9e7ce898e6ed8b2fc68641687a6dc3d82b4807868903e17bb9b54239db54ca1ed51ee5b71&scene=21#wechat_redirect
版权

在这里插入图片描述

本文转自@twt社区,【作者】泊涯。

这段时间我们某台应用测试服务器就出现CPU高、且无法正常登录现状,具体情况如下:

2月28日下午临近六点时,开发人员突然发了截图给我说187服务器无法登陆,问我是否修改了密码,如下图一:

(图一)

想想这段时间只有安装验测运维监控工具有用到187服务,但是也是10天前的事情,且没有去修改过密码,于是我也好奇登录下看看,发现确实出现问题,重新输入密码也不行,如下图二:

(图二)

追根溯源:

发现187确实无法正常登录,但是该提示信息说明该服务器没有被关闭,只是ssh链接被篡改了,这时脑中第一反应,入侵者使用了一个可执行的SSH后门,而且这些组件以服务形式安装来为恶意软件提供驻留。

出于好奇和对刚部署监控工具的可用性,我登录运维服务监控,发现还能收集187服务CPU等资源信息,如下图三,只是CPU使用率偏高,应该是使用了什么恶意软件在为它自己提供服务,但也说明187服务还是可用,只是新建的ssh连接无法链接。

(图三)

还好之前有一个惰性习惯,在另外一台电脑打开一个CRT,用完很少去关。此时刚好有打开187等服务器没关,还可以直接访问,发现是TSM服务导致CPU 高,cron的内存使用率偏高,问了下开发人员没有该服务,发现都没使用,就干掉为先。
在这里插入图片描述

于是就直接先kill掉,然后修改了下系统登录密码,但是还是要把问题追究到底,发现kill该进程后发现CPU立马掉下来,如下图四:

(图四)

通过查证:tsm64是负责通过SSH暴力破解传播挖矿机和后门的扫描器,可以发送远程命令来下载和执行恶意软件。

看了下该进程对应的服务,安装路径配置路径如下:

root 31803 31798 84 07:44 ? 08:36:57 /tmp/.X19-unix/.rsync/c/lib/64/tsm --library-path /tmp/.X19-unix/.rsync/c/lib/64/ /usr/sbin/httpd rsync/c/tsm64 -t 505 -f 1 -s 12 -S 8 -p 0 -d 1 p ip

发现该服务应该只是一个shell服务,而且看了下远程监控收集的记录,发现是2月27日凌晨四点多的时候被侵入,植入病毒,导致CPU使用率高,也导致我们CRT无法正常登录,如下图五和图六:
(图五)
(图六)

分析下应该是有开启服务进程,才会导致CPU和内存偏高,而引起内存偏高的是cron进程,于是通过crontab -e发现确实被开启了进程服务,如下图七
(图七)

接下来直截了当,停止服务,然后删除对应路径下文件和定时作业,继续观察两天,如下图8发现确实没有再复现问题。

(图八)
(图九)

总结:

虽然本次问题从发现到解决总用时十来分钟,但是纯属运气下得以快速解决,也说明了服务非功能故障处理的多维性、运维技术人员技术思维发散性和知识全面性,主要还是要多实战才是王道,本次问题主要原因是:

一、主因是服务器密码设置过于简单,导致被有机可乘。

二、服务器安全防护设置不够完善。

三、项目组人员上传文档没有进行严谨审核导致上传文件带有病毒才导致本次问题引发。

四、服务器系统用户登录权限不够完善。

五、碰到问题不恐慌、要静心、要冷静。

同创永益
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rsync定时任务引起cpu负载高
weixin_34216196的博客
09-07 2601
rsync文件同步定时任务引起cpu高 通过rsync同步静态文件到其他服务器,有时候会发现服务器负载高 原因:定时任务脚本的同步未在规定时间内完成,crontab接下来的还会执行此脚本,很多个rsync进程,就会导致负载过高,甚至有些服务器会挂掉。可以考虑采用rsync的进程锁,在目录下生成一个rsync.lock文件,当crontab执行时,rsyn...
GFS服务器在进行数据备份(rsync)时导致CPU负载过高的问题
weixin_34302798的博客
07-31 1003
为什么80%的码农都做不了架构师?>>> ...
rsync备份海量文件时占用大量内存的解决方法
01-10
linux发行版中大多都自带rsync,不过版本比较低,一般都是2.6.X 在2.X的版本中,rsync备份时都是先列表再备份(添加或者删除),在处理大量文件时,会耗费比较多的内存。 备份的时候,rsync扫描到的每个文件(目录也一样),在它的列表中约占100字节的内存,如果加了–delete参数的话,占用的内存会更多。 例如我这里一台服务器,约800万的图片,而且更新比较频繁,文件数增长比较快,差不多每天增加约10万张。备份的时候,rsync大约占用了将近2G的内存,大量内存的占用,造成服务器物理内存不足,进而使用到swap,然后产生更高的iowait(交换内存),进而造成rsync列表更慢
修改cpu型号重启不变_认识S7-1200的故障安全CPU模块
weixin_39866646的博客
11-10 1100
西门子S7-1200系列PLC的CPU包括标准型和故障安全型,今天这篇文章我们介绍两个主题:1、S7-1200的故障安全CPU的型号;2、故障安全CPU与标准型CPU的行为差异;图片由mohamed Hassan在Pixabay上发布,经适当修改用作本文封面1、S7-1200的故障安全CPU的型号SIMATIC S7-1200的故障安全CPU包括:CPU 1212FC DC/DC/DC;CPU...
crontab导致CPU异常的问题分析及处理
weixin_33946020的博客
01-29 862
今天查看数据库负载没有发现问题,但是当我使用top命令的时候,发现有一个进程占用了大量的cpu资源而且已经执行很长时间了。这一下子引起了我的注意。PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND25807 oraccbs1 25 0 8728 732 564 R 100.0 0.0...
干货 | 从淘宝到云端的高可用架构演进
独行侠梦的博客
08-26 238
主要介绍了其近几年在阿里电商平台及阿里云上的高可用设计的经验,分为两个部分:第一部分主要包括传统的淘宝店铺稳定性体系的建设及相关的基础链路设计、缓存和容灾方案的设计及部署;第二部分主要包括...
无水干货-如何快速分析Linux服务器的性能问题
u014389734的博客
10-22 272
作为一名linux系统运维人员,最主要的工作是优化系统配置,使应用在系统上以最优的状态运行,但是由于硬件问题、软件问题、网络环境等的复杂性 和多变性,导致对系统的优化变得异常复杂。 作为一名linux系统运维人员,最主要的工作是优化系统配置,使应用在系统上以最优的状态运行,但是由于硬件问题、软件问题、网络环境等的复杂性 和多变性,导致对系统的优化变得异常复杂,如何定位性能问题出在哪个方面,是性...
视觉/视觉惯性SLAM最新综述:领域进展、方法分类与实验对比
qq_29462849的博客
07-21 2888
Visual and Visual-Inertial SLAM: State of the Art, Classification,and Experimental Benchmarkin...
直接上干货!使用Docker部署Spring-Boot项目,面试题分享
04-19 190
前言 说起来开始进行面试是年前倒数第二周,上午9点,我还在去公司的公交上,突然收到蚂蚁的面试电话,其实算不上真正的面试。面试官只是和我聊了下他们在做的事情(主要是做双十一这里大促的稳定性保障,偏中间件吧),说的很详细,然后和我沟通了下是否有兴趣,我表示有兴趣,后面就收到正式面试的通知,最后没选择去蚂蚁表示抱歉。 当时我自己也准备出去看看机会,顺便看看自己的实力。当时我其实挺纠结的,一方面现在部门也正需要我,还是可以有一番作为的,另一方面觉得近一年来进步缓慢,没有以前飞速进步的成就感了,而且业务和技术偏于稳定
干货精讲!大牛用SSM框架实现了支付宝的支付功能,已有千人收藏
m0_56662547的博客
04-20 128
开头 在开始正文之前,请你先思考几个问题: 你项目中有使用哪些 GOF 设计模式 说一说 GOF 23 种设计模式的设计理念 说说 Spring 框架中如何实现设计模式 假设我是面试官问起了你这些面试题,你该如何回答呢,请先思考一分钟。 好的,我们开始进入正题。设计模式实践里面提供了许多经久不衰的解决方案和最佳方案。这里,GOF 设计模式主要分为三大类:创建模式、结构模式和行为模式。创建模式对于创建对象实例非常有用。结构模式通过处理类或对象的组合来作用于企业级应用的设计结构,从而降低了应用
使用Nginx+Lua(OpenResty)开发高性能Web应用
阳光梦的专栏
12-09 728
http://www.itwendao.com/article/detail/137461.html 在互联网公司,Nginx可以说是标配组件,但是主要场景还是负载均衡、反向代理、代理缓存、限流等场景;而把Nginx作为一个Web容器使用的还不是那么广泛。Nginx的高性能是大家公认的,而Nginx开发主要是以C/C++模块的形式进行,整体学习和开发成本偏高;如果有一种简单的语言来实现W
ANR 学习笔记
hejnhong的博客
04-23 2936
接触 ANR 分析一段时间了,但在碰到相关问题的时候,总还是有一种生涩感,专门开篇博客,做一些文章阅读后的笔记吧,不断积累。 一 ANR问题该如何分析? 这篇文章极力推荐,虽然是 17 年的,但都是干货啊,想精简一下都难。主要总结了 ANR 日志的分析思路,给的例子也很是经典。 1 ANR 分类 广播ANR Service ANR ContentProvider ANR Input ANR 面向系统:WatchDog 产生ANR原因,如下几种: 耗时操作 自身服务阻塞 系统阻塞 内存紧张 CPU资源抢占 2
Linux下服务器CPU过高的诊断
关注系统性能调优
06-06 4522
Weblogic非常耗CPU的时候,如何知道是什么在耗性能? 1.先用top -H 看线程的消耗   PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND 14537 weblogic  20   0 26.0g 9.3g  11m R 41.8  7.4  56:21.87 java 14530 weblog
rsync的使用
关注系统性能调优
09-17 1449
rsync是类unix系统下的数据镜像备份工具——remote sync。一款快速增量备份工具 Remote Sync,远程同步 支持本地复制,或者与其他SSH、rsync主机同步。在上一次系统附件迁移过程中大显身手。一共是20多万份文件,总计8T。30M/s的传输速度,传输过程中断过几次,不过它有断点续传的功能,实在是太强大了。   来做个实验,服务端向客户端传数据。   http://pk
关于kswapd0 CPU占用率高的问题
热门推荐
jzz601264258的博客
04-29 2万+
关于kswapd0 CPU占用率高的问题 很多天前就发现自己的腾讯云服务器一直有个进程CPU占用率很高 上网查了很多教程都说是因为内存占用较高导致系统自动调用kswapd0进程来搬运内存数据到虚拟内存,导致CPU占用率极高,由于我服务器内存只有2G,所以一直认为是此原因导致,但最近服务器越来越卡,于是乎还是下决心找出原因优化一下 使用netstat -antlp查看系统外部链接时,发现有两个荷...
raksmart香港大带宽服务器地址
IDC_USA的博客
09-04 593
综上所述,在选择RAKsmart香港大带宽服务器时,可以根据自己的具体需求选择合适的配置和线路类型,以达到最优的使用效果。Rak部落小编温馨提示:以上就是小编为您整理发布raksmart香港大带宽服务器地址相关内容,更多关于服务器的专业科普和优惠活动可关注我们,科技赋能,RAKsmart机房为给您的工作和生活带来便利而努力。RAKsmart香港大带宽服务器的地址是由RAKsmart公司提供的香港机房所在地,具体地址未在公开资料中披露,但其主要特点是提供高带宽且不限制流量的服务。
代理服务器介绍,正向代理(校园网,vpn,http隧道技术),反向代理(公司服务器,frp服务),NAT和代理服务器的相同/不同点
最新发布
m0_74206992的博客
09-05 973
代理服务器介绍,正向代理(校园网,vpn,http隧道技术),反向代理(公司服务器,frp服务),NAT和代理服务器的相同/不同点
新的Ubuntu服务器如何启用root账号和配置静态ip以及开启ssh服务
jjw_zyfx的博客
09-05 458
新的Ubuntu服务器如何启用root账号和配置静态ip以及开启ssh服务
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值