记录一次挖矿病毒kthreaddk和rcu_bj,导致CPU飙高处理

原创 已于 2023-03-01 17:15:22 修改 · 3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#后端 #网络安全 #服务器

于 2023-03-01 17:08:57 首次发布
文章描述了如何处理htop中kthreaddk和rcu_bj进程导致的CPU使用率升高问题,这可能是由于恶意挖矿病毒引起的。首先,检查并清理异常的定时任务,然后删除相关恶意文件。针对gitlab系统,可能需要停止gitlab服务,删除异常文件,杀死kthreaddk进程,并调整端口设置。最后,重启服务并监控CPU使用情况以确认问题是否已解决。

htop命令 存在kthreaddk和rcu_bj进程,cpu飙高 占用一般cpu或者70-80%

1、检查定时任务 查看是否有

# crontab -l 

检查root账号是否有异常定时任务 有的话crontab -e 修改定时任务保存

并检查所有的用户有没有定时任务( 注:我的是gitlab git账户被入侵)异常进程直接删除

crontab -u git -l 查看git账号是否有异常定时任务

 如有恶意定时任务 删除

# ls -l /proc/pid    查看进程 文件

#crontab -r    清空定时任务

2、删除相关植入的恶意文件

文件中/usr/lib/sys 恶意文件  直接清空文件数据

脚本 执行先杀进程 再清空日志 后回收内存 基本可以清掉数据

也可按情况重启 

#重启 reboot -h now 

#!/bin/bash
#杀掉rcu_bj所有相关进程
killall -9 rcu_bj
cd /usr/lib/sys
#清空日志
cat /dev/null > rcu_bj
cat /dev/null >rcu_libk
cat /dev/null >rcu_udev
cat /dev/null > systemd
#查看内存
free -m
#回收内存
echo 1 > /proc/sys/vm/drop_caches
echo 2 > /proc/sys/vm/drop_caches
echo 3 > /proc/sys/vm/drop_caches
#回收后的内存
free -m

 处理rcu_bj挖矿病毒基本可以解决

kthreaddk 挖矿病毒处理 可能是因为gitlab低版本的漏洞导致的

明确是git账号一直跑资源 处理如下:

1、关掉所有gitlab服务

关掉所有gitlab-runsvdir 服务

# systemctl stop gitlab-runsvdir

2、查看gitlab安装目录

 进入安装目录/var/opt/gitlab/gitlab-workhorse 

如果里面有很多文件全部删除 只保留以下几个文件 不放心可以先备份 

 3、杀掉所有kthreaddk的进程

killall -9 kthreaddk

 4、关闭gitlab外网映射端口 

建议gitlab外网映射端口不开放 很容易被攻击

5、重启gitlab

重新启动服务
#systemctl restart gitlab-runsvdir.service 

重启gitlab

#gitlab-ctl restart

 6、htop观察cpu运行情况 发现一段时间后趋于稳定 不在飙升 问题解决

忆丶chen
关注
隐藏挖矿木马rcu_tasked的查杀
夫礼者的专栏
08-13 2509
隐藏挖矿木马rcu_tasked的查杀
Linux 内核分析 rcu_sched self-detected stall on CPU_rcu-sched
2401_84969054的博客
05-13 1711
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Linux - kthreaddi 进程导致CPU问题 处理记录
热门推荐
Daopin Blog
03-10 1万+
今天登录到阿里云的服务器时,使用top命令查看系统信息发现有个进程kthreaddi】把CPU给占满了 登录阿里云控制台查看,发现从凌晨4点左右开始cpu就达到100%: 查看系统的日志(/var/log/message),果然也是从4点30分左右开始有关【kthreaddi】的信息: kthreaddi挖矿 病毒当前投递最终载荷依然为挖矿木马,sysrv模块会在其Guard守护流程内对挖矿进程做保护,当kthreaddi进程不存在,则释放矿机到tm...
linux centos7 解决挖矿病毒kthreaddk CPU占用
m0_66127371的博客
09-30 2103
病毒修复
confluence中kthreaddk挖矿病毒处理
weixin_44024436的博客
09-13 340
confluence中kthreaddk挖矿病毒处理
阿里云ECS服务器CentOS CPU莫名跑,出现大量rcuob进程
Keep learning
08-10 8654
最近服务器CPU动不动就100%,提交工单也没有解决方案,查阅大量资料后找到这篇文章 http://www.ilurker.cn/?post=303 根据他的方法成功解决此问题。感谢这位叫Lurker的朋友! 我这里也记录一下。方法一:vim /etc/default/grub,在GRUB_CMDLINE_LINUX这一行末尾添加nr_cpus=2,然后执行命令grub2-mkconfig -o
记录一次阿里云服务器挖矿木马 [kthreaddk] 处理记录
weixin_51906455的博客
01-31 455
记录一次阿里云服务器挖矿木马 [kthreaddk] 处理记录
【linux kernel】start_kernel函数详解系列之rcu_init
iriczhao的博客
05-12 675
一、闪亮登场 (注)本文代码出自linux内核版本:4.1.15 在start_kernel()函数中会使用rcu_init函数对RCU进行初始化,该函数内部实现取决于以下两个内核配置选项: CONFIG_TINY_RCU CONFIG_TREE_RCU 在第一种情况下,rcu_init函数定义在内核的/rcu/tiny.c中,第二种情况下,rcu_init函数会在内核的/rcu/tree.c中定义。本文假设是第二种情况。 RCU全称read-copy-update,是linux内核中实现的一种可扩展的
rcu_linux_rcu_linuxmemory_
10-01
综上所述,RCU是Linux内核中一种关键的并发控制机制,它通过精细的读写同步策略巧妙的调度策略,实现了并发下的效数据访问。然而,理解并合理应用RCU需要深入理解其工作机制潜在问题,这正是《Mathieu-...
ccu_rcu.rar_RCU CCU_hdlc_rcu_xc878 prot_自动控制
09-19
在给定的“ccu_rcu.rar_RCU CCU_hdlc_rcu_xc878 prot_自动控制”压缩包中,我们可以了解到一个基于自动控制技术的天线控制系统。这个系统由两个主要部分组成:主控制器(CCU,Central Control Unit)远程控制单元...
服务器挖矿,有command为【kthreaddi】的进程跑满cpu,详细解决步骤
LifeOneOnly的博客
06-02 1028
1.使用top命令看到有command为【kthreaddi】的进程,例如12236 2.使用netstat -ltnp命令监听到非法监听的进程,识别方法是xiang'mu
kthreaddi 挖矿病毒处理全过程记录
SmileCoder
06-10 2880
一、问题发现 首先收到阿里云的相关提醒 服务器上使用top命令进行定位 阿里云控制台cpu满负荷运行 查看定时任务 crontab -l # 表示列出所有的定时任务 crontab -r # 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除,执行crontab -l后会提示用户:“no crontab for admin” 查看进程详细执行链接 避免服务器长时间负荷运行,可以先在安全组中将所有对外端口封掉 二、内容分析 传播 很多小伙伴会问,我的物理机放在机房
自有服务器(2台)被 kthreaddk木马挖矿解决过程(实操)不重启服务器
wscwsc58888的专栏
12-12 1406
自有服务器kthreaddk木马挖矿解决过程(实操)不重启服务器
kthreaddk 挖矿病毒的解决
zylfarzero的博客
07-21 1833
kthreaddk
rcu_bj病毒处理
dualvencsdn的博客
10-22 2368
docker logs -f --tail=10 mesh-mynewcat 可以看到进程 不断被killed。(3) kill -9 44934 杀掉这个 rcu_bj 进程。cat /dev/null > rcu_bj (下面两个也是)重启机器后,内存里的程序消息,一切正常。有些内存中的进程 还在影响;(1) 定时任务注销。
kthreaddk挖矿病毒处理
chenxiao17301的博客
08-08 800
kthreaddi
Linux【问题记录 05】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议_阿里云 kthreaddk(1)
m0_60707708的博客
05-10 818
最全的Linux教程,Linux从入门到精通第一份《Linux从入门到精通》466页内容简介====本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷,并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐办公、程序开发、服务器配置、系统安全等。本书附带1张光盘,内容为本书配套多媒体教学视频。
kthreaddk病毒查杀记录
Cookie_1030的专栏
12-15 2202
今日在zabbix上查看到某台服务器CPU使用率过(几乎100%)。进入服务器top查看到一个异常的进程kthreaddk。 第一步:kill掉对应pid之后还会继续出现,意识到这是病毒文件,会一直不停的产生。 第二步:ll /proc/pid/exe 查看具体的文件地址,可以直接删除。但发现该文件会自动删除,并再次生成其他文件在另外的目录下,如此不停循环。 第三步:关掉对外的无用端口,看到机器上开了很多的端口对外,但其实本身意义不大,直接在后台对外关闭。 第四步:查看到该进程的管理用户是g..
Linux服务器被植入kthreaddk挖矿程序后处理方案
猿谋人、
03-30 5014
今天早上一过来上班就收到客户反馈,小程序无法上传图片了,经过日志排查发现服务器tmp文件目录被删了,导致上传失败异常。同时我发现服务器CPU爆满,查看进程就发现不对劲,似乎有问题。 查询了一下占用进程名,发现是个挖矿木马。 使用top命令,查看内存消耗。 我发现kill了过一段时间又会重新启动,删除定时任务也无法解决。 最后为了保证服务器的可用先,我直接停止了定时任务的使用。 crontab -r 再kill了进程服务器不堵塞恢复正常使用了。然后慢慢清理木马! ...
rcu_dereference_bhrcu_dereference
最新发布
07-11
<think>嗯,用户想了解rcu_dereference_bhrcu_dereference的区别用途。这个问题是关于Linux内核RCU机制的细节,看来用户可能在做内核开发相关工作。 从用户的问题看,用户应该已经对RCU基础有一定了解,现在需要更深入的API区别。用户特别提到"difference usage",说明ta更关注实际使用场景而非纯理论。 这两个API都是RCU的核心读取端原语,但针对不同上下文: - rcu_dereference用于普通进程上下文 - rcu_dereference_bh专为软中断上下文设计 关键区别在于内存屏障的插入位置。在Linux内核中,软中断上下文需要考虑bottom half的抢占问题,所以需要特殊处理。用户可能正在调试软中断相关代码时遇到了同步问题。 需要强调使用场景的区分:如果用户在写软中断处理函数,就必须用_bh版本,否则可能导致数据竞争。普通进程上下文如果错误使用_bh版本虽然能工作,但会带来不必要的性能开销。 用户可能还隐含想知道:为什么内核不统一用一个API?这涉及到RCU的设计哲学——最小化开销。在不需要屏障的地方插入屏障会造成性能浪费,特别是在网络等性能场景。 最后要注意提醒用户屏障的可见性范围,这是容易出错的地方。很多开发者以为_bh提供了全局屏障,其实它只防止本地CPU的软中断重排序。</think>在Linux内核的RCU机制中,`rcu_dereference()` `rcu_dereference_bh()` 都是用于安全读取RCU保护指针的核心原语,但针对不同的执行上下文设计,主要区别如下: --- ### **1. 设计目标与上下文** - **`rcu_dereference()`** 用于**普通进程上下文**(如系统调用、线程)。 插入内存屏障防止CPU编译器对内存访问的重排序,确保读取指针时观察到更新后的值[^1]。 - **`rcu_dereference_bh()`** 专为**软中断上下文**(如网络数据包处理、`tasklet`)设计。 除内存屏障外,还防止**本地CPU的软中断(Bottom Halves)重入**干扰当前读取[^2]。 --- ### **2. 关键区别** | **特性** | `rcu_dereference()` | `rcu_dereference_bh()` | |------------------------|-------------------------------|--------------------------------| | **适用上下文** | 进程上下文 | 软中断上下文 | | **屏障作用范围** | 通用内存屏障 | 内存屏障 + 本地软中断隔离 | | **开销** | 较低 | 略(需额外处理软中断状态) | | **内部实现差异** | `smp_load_acquire()` | 屏障 + `local_bh_disable()`[^3] | --- ### **3. 使用场景示例** #### **场景1:进程上下文读取链表** ```c struct data *p; rcu_read_lock(); p = rcu_dereference(head->ptr); // 正确:普通进程上下文 if (p) use_data(p); rcu_read_unlock(); ``` #### **场景2:软中断中更新统计** ```c void packet_handle(struct sk_buff *skb) { rcu_read_lock_bh(); stats = rcu_dereference_bh(dev->stats); // 必需:软中断上下文 update_stats(stats); rcu_read_unlock_bh(); } ``` **错误示例**:在软中断中使用 `rcu_dereference()` 可能导致本地CPU的软中断重入引发数据竞争。 --- ### **4. 核心规则** 1. **上下文匹配** - 进程上下文 → `rcu_dereference()` - 软中断/`tasklet` → `rcu_dereference_bh()` 2. **锁配对** - `rcu_dereference()` 需与 `rcu_read_lock/unlock()` 配对 - `rcu_dereference_bh()` 需与 `rcu_read_lock_bh/unlock_bh()` 配对 3. **禁止混用** 在 `rcu_read_lock_bh()` 保护的区块内必须使用 `rcu_dereference_bh()`,反之亦然。 --- ### **5. 性能影响** - `rcu_dereference_bh()` 的额外屏障在软中断频场景(如网络)可能带来轻微开销,但能避免更严重的并发错误[^4]。 - 在进程上下文中错误使用 `rcu_dereference_bh()` 会造成不必要的性能损失。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值