Linux系统 kswapd0进程对于CPU占有率高的情况下排查到黑客植入脚本

最新推荐文章于 2025-09-30 17:51:18 发布
原创 最新推荐文章于 2025-09-30 17:51:18 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #运维

博客讲述了kswapd0进程CPU占有率高的排查过程。起初认为是内存转换问题,后用命令发现可疑地址,确定是病毒。接着介绍了查询进程文件地址、杀掉病毒进程、查看定时任务等操作,还补充了cron规则表达式知识,最后给出服务器防黑优化建议。

kswapd0进程对于CPU占有率高的情况下排查到黑客植入脚本

每次总是显示 kswapd0进程爆炸了,直接199%,每次都是杀掉这个进程,治标不治本。

网上查了一下因为内存占用较高导致系统自动调用kswapd0进程来搬运内存数据到虚拟内存,导致CPU占用率极高,由于我服务器内存只有2G,所以一直认为是此原因导致,但最近服务器越来越卡,于是乎还是下决心找出原因优化一下
在这里插入图片描述

感觉可能不是简单的内存转换,于是用 netstat -antlp 命令查看 通信地址,发现两个可疑地址
在这里插入图片描述

然后查询这两个IP的地址,发现是荷兰的地址,那估计是病毒了

在这里插入图片描述
在这里插入图片描述

确定是病毒,开始干活。

  1. 查询地址

查询这两个进程的文件地址 ls -l /proc/24074/exe 命令查看

在这里插入图片描述

  1. 杀掉病毒进程

然后进入这个目录,下载这个文件夹到本地,看看是个什么玩意,然后杀掉这两个进程

在这里插入图片描述
在这里插入图片描述

  1. 查询定时任务

还没完,查看是否包含异常定时任务

	//查看定时任务
	crontab -l
	//清理定时任务
	crontab -e

发现有定时任务

5 6 * * 0 /root/.configrc5/a/upd>/dev/null 2>&1
@reboot /root/.configrc5/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc5/b/sync>/dev/null 2>&1
@reboot /root/.configrc5/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X25a-unix/.rsync/c/aptitude>/dev/null 2>&1

就是一个这样的脚本文件。
这里补充几个知识点:

  1. cron规则表达式

5位Cron代表的结构
文件格式說明
——分钟(0 - 59)
| ——小时(0 - 23)
| | ——日(1 - 31)
| | | ——月(1 - 12)
| | | | ——星期(0 - 7,星期日=0或7)
| | | | |
*表示被執行的命令

  1. dev/null 2>&1

/dev/null 2>&1的作用就是让标准输出重定向到/dev/null中(丢弃标准输出),然后错误输出由于重用了标准输出的描述符,所以错误输出也被定向到了/dev/null中,错误输出同样也被丢弃了。执行了这条命令之后,该条shell命令将不会输出任何信息到控制台,也不会有任何信息输出到文件中。
第一行:每个月每个星期每隔2每隔1小时零1分钟开始执行/home/dev/.configrc/a路径下的upd脚本
第二行:重启电脑之后开始执行/home/dev/.configrc/a路径下的upd脚本不打印任何信息
第三行:每个月的每个周日每隔8小时零5分钟开始执行/home/dev/.configrc/b路径下的sync脚本
第四行:重启电脑之后开始执行/home/dev/.configrc/b路径下的sync脚本
第五行:每个月每个星期每隔3天每时每分执行/dev/shm/.X1129/.rsync/c/路径下的aptitude脚本
那么接下来我会去看
• /home/dev/.configrc/a路径下的upd文件
• /home/dev/.configrc/b路径下的sync文件
• /dev/shm/.X1129/.rsync/c/路径下的aptitude文件

最后一步就是修改账户的密码,端口什么的

总结

1.就是跟着进程找找目录,然后杀进程,清目录
2.清定时任务
3.服务器的ftp端口最好别用22,密码尽量设置复杂点
4.尽量用密钥连接服务器,最好别用账号密码连接
5.封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)
6.密码增强复杂性
7.及时修补系统和软件漏洞

Linux进程kswapd0占用CPU导致卡顿问题
没刮胡子的程序员专栏
02-22 1966
最近发现服务器访问速度变慢,内存占得很满,操作经常卡顿,因为部署了不少的服务,有应用服务,也有数据库服务都很吃内存,但是查看还剩余2G左右内存,应该不至于卡顿,于是准备处理一下。看了系统经常发现一个进程kswapd0 一阵一阵的占用超CPU资源。查了一些资料说,系统物理内存不足时,kswapd0 会频繁的进行换页操作(使用swap分区与内存换页操作交换数据),而换页操作非常消耗 CPU 资源,所以导致该进程持续占用 CPU 资源过
Linux挖矿病毒(kswapd0进程使cpu爆满)
m0_52985087的博客
11-07 9433
事情起因:有台测试服务器很久没用了,突然监控到CPU飙到了95以上,并且阿里云服务器厂商还发送了通知消息,【阿里云】尊敬的xxh: 经检测您的阿里云服务(ECS实例)i-xxx存在挖矿活动。因此很明确服务器中挖矿病毒。
Linux系统kswapd0CPU占用问题的全面分析与解决方案
最新发布
喝醉酒的小白
09-30 1380
kswapd0Linux内核中负责内存回收的核心守护进程,其全称为"Kernel Swap Daemon"。作为Linux虚拟内存管理系统的重要组成部分,kswapd0承担着在系统内存紧张时自动执行页面回收的关键任务。与用户空间进程不同,kswapd0是一个内核线程,专门负责异步回收内存,其主要职责包括管理内存的页面回收(Page Reclamation),当系统的内存使用接近阈值(如vm.min_free_kbytes等参数决定)时,kswapd0会主动运行,扫描物理内存并回收不活跃的页面。
挖矿木马分析之肉鸡竟是我自己
Appleteachers的博客
05-25 1607
之前服务器总是有一些异地登陆的告警信息,用代理就会这样,自己也没太在意。今天偶然间打开一看,发现如下提示! 接下来处理一下! 收集信息 finalshell登陆发现CPU占用率为100%ps auxw|head -1;ps auxw|sort -rn -k3|head -10查看CPU占用最多的前10进程 罪魁祸首是第一个,其PID是3124。ls -ail /proc]/PID查看其绝对路径 .configrc文件内容如下(.configrc的名字是为了把自己和.config文件混淆) .
Linux kswapd0 进程CPU占用过
ako881010的博客
06-11 2750
图便宜买了个1核1G虚拟机,启动两个jar后cpu飙升直接卡死,查看cpu及内存占用 发现kswapd0进程cpu占用一直居不下,于是查询资料,总结如下。 swap分区的作用是当物理内存不足时,会将一部分硬盘当做虚拟内存来使用。 kswapd0 占用过是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过。 可以通过修改 /etc...
linux kswapd0进程cpu占用一直居不下
u010674101的专栏
06-27 4785
kswapd0Linux 内核中的一个进程,负责管理虚拟内存和交换(swap)操作。当该进程CPU 占用率居不下时,通常表示系统正在频繁地进行交换操作,可能由于内存不足或内存使用不合理。
Linux 服务器 kswapd0 进程 CPU占满
Lonelypatients°的博客
07-15 2496
引言 今天再一次体验整个cpu 占满的问题, 并且究其根本,寻找问题所在, 真的是欲哭无泪了, 太难了! 第一次没有太在意, 重启了服务器好像好了那么一阵, 最近呢,又往服务器上部署了项目, 今天终于又一次复现了. 排查问题 如果通过 **top** 等监控发现 kswapd0 进程持续处于非睡眠状态,且运行时间较长并持续占用较 CPU 资源, 则通常是由于系统在持续的进行换页操作所致。则可以通过 **free -m** 、**ps** 等指令进一步查询系统系统进程的内存占用情况,做进一步排
精选资源
kswapd0进程占用CPU非常--解决方案.docx
08-13
在IT运维领域,当遇到"**kswapd0进程占用CPU非常**"的情况时,这通常意味着系统的内存管理出现了问题。kswapd0Linux内核的一个后台进程,它的主要职责是负责内存交换,即当物理内存不足时,将不活跃的页面(内存...
精选资源
linux vps服务器进程kswapd0与events/0消耗大量CPU的问题
01-11
今天下午网站宕了两次机,发工单给阿里云,发现原因是服务器CPU 100%了。 重启服务器后,使用 top 命令看看是哪些进程消耗那么大的 ...当 mysql 的 CPU 消耗降下来之后,出现了两个奇怪的进程kswapd0 和 events/0
Linux kswapd0进程CPU占用过,病毒清理
zhangjunli的博客
08-21 1万+
<div id="bgchange" style="width: 660px;"> <div class="fontsize_bgcolor_controler"> <div class="a_bgcolor"> <img src="http://pubimage.360doc.com/NewArticle/bgcolor.jpg"> <div class="a_colorlist"> <span class="a_color1" oncli
服务器Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
小韩的博客
04-03 3万+
服务器Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
linux桌面环境下,设置kswapd0(虚拟内存管理进程)
u012441962的博客
09-21 612
cat /proc/sys/vm/swappiness 可以查看swap虚拟内存交换参数(ram–>rom) kswapd0进程的作用:它是虚拟内存管理中,负责换页的,操作系统每过一定时间就会唤醒kswapd ,看看内存是否紧张,如果不紧张,则睡眠,在 kswapd 中,有2 个阀值,pages_hige 和 pages_low,当空闲内存页的数量低于 pages_low 的时候,kswapd进程就会扫描内存并且每次释放出32 个free pages,直到 free page 的数量到达pages_h
kswapd0 进程CPU占用过
热门推荐
没有用户名的博客
07-12 10万+
kswapd0 进程CPU占用过 。操作系统都用分页机制来管理物理内存,操作系统将磁盘的一部分划出来作为虚拟内存,由于内存的速度要比磁盘快得多,所以操作系统要按照某种换页机制将不需要的页面换到磁盘中,将需要的页面调到内存中,由于内存持续不足,这个换页动作持续进行,kswapd0是虚拟内存管理中负责换页的,当服务器内存不足的时候kswapd0会执行换页操作,这个换页操作是十分消耗主机CPU资源的。如果通过top发现该进程持续处于非睡眠状态,且运行时间较长,可以初步判定系统在持续的进行换页操作,可以将问题转
kswapd0进程CPU占用过
记录自己学习计算物理的过程;也欢迎关注同名公众号、知乎和个人博客!
10-11 2771
不过通常的操作下,二者是在一起配合产生作用的,例如对一个文件进行写入的时候,page cache 的内容会被改变,而 buffer cache 则负责将 page 标记为不同的缓冲区,并记录修改了哪一个缓冲区,这样如果后续需要执行脏数据的回写,内核就只需要写回修改的部分而不用将整个 page 写回。而如果设置有多个swap交换区,swap空间的分配会以轮流的方式操作于所有的swap。需要注意的是,一般情况下系统将内存管理的很好,我们在生产环境中的服务器不要频繁的去释放内存,只在必要时候清理内存即可。
Linux系统CPU负载的查询和案例分析
qq_34685283的博客
09-27 527
CPU负载的查询分析 在Linux系统中,查看进程的常用命令如下所示。本文主要介绍vmstat和top。 vmstat top ps -aux ps -ef 使用vmstat命令查看 通过vmstat命令,从系统维度查看CPU资源的使用情况。命令格式类似如下,表示结果一秒刷新一次。 vmstat -n 1 示例如下。 procs -----------memory---------- ---swap-- -----io---- -system-- ------cpu----- r
kswapd0进程对于CPU占有率情况下排查黑客植入脚本,与黑客斗智斗勇的三个回合
子冉冰清的博客
03-30 7653
kswapd0进程对于CPU占有率情况下排查黑客植入脚本,与黑客斗智斗勇的三个回合 第一回合 最开始大概是半个月前,我突然发现我的百度云服务器上的MySQL连接不上。 但是前一晚还用了。因此可以确定不是账号密码,以及服务器上设置的问题。 于是乎,就登陆到云服务器上,准备去查看一下mysql的运行情况。然后突然敲命令也很卡,感觉可能系统响应太慢了,用toptoptop指令去看下 (上面这个图是我第三回合排查的时候截的图,前面两个回合都没有注意,所以没有截图。) 当我看到这个的时候,吓了一跳。怎么突然
kswapd0进程在CentOS下CPU占用率过
moshi_monian的博客
07-08 4627
kswapd0进程在CentOS下CPU占用率过问题并不是内存不够那么简单我自己解决问题的过程记录 问题并不是内存不够那么简单 今早到公司,开晨会,发现华为云上的测试环境应用访问不到了.晨会开完后,就连上了测试环境进行问题排查.发现了一个名为 kswapd0进程,CPU占用率300%多… 其实这个问题前些天也出现过,当时在优快云中找答案,发现都说是内存不够用了的问题. 当时有过怀疑是木马或者病毒,但没有深究. 因为那段时间,服务器密码也不知道是被谁改了,出过一些问题… 但这次又是这个进程在作妖,
关于kswapd0 CPU占用率的问题
jzz601264258的博客
04-29 2万+
关于kswapd0 CPU占用率的问题 很多天前就发现自己的腾讯云服务器一直有个进程CPU占用率很 上网查了很多教程都说是因为内存占用较导致系统自动调用kswapd0进程来搬运内存数据到虚拟内存,导致CPU占用率极,由于我服务器内存只有2G,所以一直认为是此原因导致,但最近服务器越来越卡,于是乎还是下决心找出原因优化一下 使用netstat -antlp查看系统外部链接时,发现有两个荷...
kswapd0进程占用cpu非常
06-09
如果kswapd0进程占用CPU非常,可能是由于系统内存不足,导致kswapd0频繁地进行内存交换和清理操作,从而导致CPU占用率。 解决这个问题的方法主要是增加系统内存或者调整内存管理参数。如果系统内存不足,可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值