chkrootkit进程导致D状态问题解析

chkrootkit进程D状态问题解析与解决
最新推荐文章于 2025-12-11 17:58:15 发布
原创 最新推荐文章于 2025-12-11 17:58:15 发布 · 478 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ubuntu #运维 #服务器 #linux

在Linux系统中,D 状态(不可中断睡眠状态)的进程通常由 I/O 阻塞等待硬件资源引起,而 chkrootkit 是一个安全工具,用于检测系统中的 Rootkit 恶意软件。以下是详细解释和解决方案:

1. 什么是 chkrootkit

  • 作用chkrootkit 是一个开源工具,用于扫描系统文件和进程,检测已知的 Rootkit、后门或可疑活动。
  • 工作原理:它会执行一系列脚本和命令,检查系统关键路径(如 /proc 目录)、二进制文件、网络接口等是否被篡改。
  • 潜在问题:某些 chkrootkit 的检查可能涉及高频率的 I/O 操作或依赖外部资源(如挂载的磁盘/NFS),若资源响应缓慢,可能导致进程进入 D 状态。

2. 为什么 chkrootkit 会导致 D 状态进程?

  • I/O 阻塞:扫描过程中大量读取磁盘文件(尤其是大目录或慢速磁盘),可能导致进程等待 I/O 完成。
  • 挂载点问题:如果扫描到无响应的挂载点(如故障的 NFS 共享),进程会卡在等待状态。
  • 旧版本 Bug:某些旧版 chkrootkit 存在逻辑缺陷,例如未正确处理超时或资源锁定。

3. 解决方案

(1) 终止 chkrootkit 进程
  • D 状态进程无法直接通过 kill 终止,需先解决其阻塞的资源:
    # 查找 chkrootkit 进程
ps aux | grep chkrootkit

# 尝试终止(可能无效)
kill -9 <PID>

# 若无效,需重启系统(谨慎操作)
reboot
(2) 排查 I/O 或挂载问题
  • 检查磁盘性能
    iostat -x 2  # 查看磁盘 I/O 负载
dmesg | grep error  # 检查磁盘错误日志
  • 验证挂载点
    df -h  # 查看挂载点状态
umount -l /path/to/stuck-mount  # 强制卸载无响应挂载点
(3) 更新或替换 chkrootkit
  • 升级到最新版本
    sudo apt-get update && sudo apt-get install --only-upgrade chkrootkit  # Debian/Ubuntu
  • 改用替代工具(如 rkhunter):
    sudo apt-get install rkhunter
sudo rkhunter --check
(4) 限制扫描范围
  • 编辑 /etc/chkrootkit.conf,排除可能引发问题的路径:
    # 示例:跳过挂载点或大目录
SKIP="/mnt/nfs /data/large_directory"
(5) 定时任务优化
  • 如果通过 cron 定期运行 chkrootkit,降低频率或避免高峰时段:
    # 改为每周一次,凌晨执行
0 3 * * 0 /usr/sbin/chkrootkit

4. 预防措施

  • 监控工具:使用 iotopvmstat 监控实时 I/O 负载。
  • 日志分析:定期检查 /var/log/syslog/var/log/messages 中的 chkrootkit 日志。
  • 硬件健康:对磁盘进行 SMART 检测(smartctl -a /dev/sda)。

总结

D 状态的 chkrootkit 进程通常由 I/O 阻塞或资源无响应引起。通过升级工具、优化扫描范围、检查硬件/挂载点,可以有效解决问题。若频繁发生,建议替换为更高效的安全工具(如 rkhunter)。

【应急响应篇】应急响应之进程,服务,文件排查方法
大河之犬的博客
05-10 1097
有些恶意程序释放子体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径,由于不同系统版本的路径有所差别,但是临时文件的路径相对统一,因此在程序中写好的路径一般是临时目录。对于 Windows 系统中的进程排查,主要是找到恶意进程的 PID、程序路径, 有时还需要找到 PPID(PID 的父进程)及程序加载的 DLL。】命令,可移除 i 属性,进而删除文件。打开【运行】对话框,输入【services.msc】命令,可打开【服务】窗口,查看所有的服务项,包括服务的名称、描述、状态等。
top 命令
我相信
03-10 316
http://www.jb51.net/article/40807.htm
Linux内核调试技术——进程D状态死锁检测
zmjames2000 Just record
03-11 894
come from :https://blog.youkuaiyun.com/luckyapple1028/article/details/51931210 Linux进程存在多种状态,如TASK_RUNNING的运行态、EXIT_DEAD的停止态和TASK_INTERRUPTIBLE的接收信号的等待状态等等(可在include/linux/sched.h中查看)。其中有一种状态等待为TASK_UNIN...
linux检查是否有D进程,Linux的CPU-Load虚高之进程的D状态
weixin_36073959的博客
04-28 1464
写在前面前几天从同事手里接盘了一个 HHKB 的键盘,虽说是顶级的配置,但是如果不提一句的话估计大家都不会意识到码出这篇博文的工具如此高大上,同时意味着我要持续吃土小半年了。就像之前博文提到的,我工作的重心从业务开发逐渐向基础平台建设转移,关注的点从 CPU 和内存变成了更为宏观的系统架构、稳定性、性能等。一方面需要站的足够高,如此才能理清楚系统的整体脉络,避免在解决一个棘手问题的时候再引入另一个...
如何处理d状态进程
cybertan的专栏
11-23 8404
umount的问题 我用 fuser  -km  /home umount -l   /home  & 分区 执行这句时,用ps 一下发现:   1796  0         2512  D   umount -l   /home 其线程状态为 D ---------------- 我用的网上的方法以(但是没用,执行它时,也一样死在那了,我是在板子执行的) -
linux 病毒程序自动启动进程分析,Linux病毒(木马)导致带宽跑满的解决过程
weixin_29549793的博客
04-29 820
这台机器主要是运行了一个tomcat WEB服务和oracle数据库,问题不应该出现在WEB服务和数据库上面,我检查了一下WEB日志,没有发现异常,查看数据库也都正常,也没有错误日志,查看系统日志,也没有看到异常,但是系统的登录日志被清除了,赶紧查看了一下目前运行的进程情况,看看有没有什么异常的进程,一查看,果然发现几个异常进程,不仔细看还真看不出来,这些进程都是不正常的。这是个什么进程呢,每次p...
mysql导致带宽跑满_真实记录linux病毒导致带宽跑满的解决过程
weixin_39596090的博客
02-02 290
案例描述早上接到IDC的电话,说我们的一个网段IP不停的向外发包,应该是被***了,具体哪个IP不知道,让我们检查一下。按理分析及解决办法首先我们要先确定是哪台机器的网卡在向外发包,还好我们这边有zabbix监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该出现在这台机器上面。我登录到机器里面,查看了一下网卡的流量,我的天啊,居然跑了这个多流量。这台机器主要是运行了一个tomcat WEB...
kpktgend进程高CPU占用(pktgen模块未加载)的原因分析
09-30
我们正在分析kpktgend进程高CPU占用且pktgen模块未加载的原因。 首先,kpktgend进程是pktgen模块的一部分,正常情况下只有在加载pktgen模块时才会出现。但用户发现未加载pktgen模块时,系统中也存在kpktgend进程且...
保障系统安全:Afick与chkrootkit的使用指南
### 保障系统安全:Afick与chkrootkit的使用指南 #### 1. Afick:验证文件系统完整性 Afick是一款用于验证文件系统完整性的工具,它通过创建文件系统的数据库快照,后续对比快照与当前文件系统来检测文件的变化。 ...
26、Linux系统恶意软件分析全攻略
star的博客
12-09 3
本文全面介绍了Linux系统下恶意软件分析的完整流程,涵盖自动化分析框架、在线沙箱预分析、静态与动态分析技术、反汇编工具IDA Pro的使用、系统调用与网络流量分析、事件重建及工件审查等内容。同时探讨了物理内存分析、NIDS警报审查以及运行后对受感染系统的端口扫描、漏洞评估和根kit检测等关键步骤,为安全研究人员提供了一套系统化的Linux恶意软件逆向与取证分析方法论。
22、Knoppix实用工具:检测Rootkit、收集取证数据与克隆硬盘
z5a6b的博客
11-19 4
本文介绍了如何使用Knoppix进行Rootkit检测、取证数据收集和硬盘克隆。涵盖了chkrootkit的局限性与使用方法,利用Coroner’s Toolkit和Sleuthkit进行取证分析的步骤,以及通过dd和partimage实现本地或网络硬盘克隆的技术细节。同时对比了各工具的优缺点,提供了常见问题解决方案,帮助系统管理员提升安全响应能力和运维效率。
ps进程显示D状态
drzeno的博客
03-02 6935
manps 中描述D状态是Uninterruptible Sleep Linux进程有两种睡眠状态, Interruptible Sleep(可中断睡眠,在ps命令中显示“S”)。处在这种睡眠状态进程是可以通过给它发送signal来唤醒的,比如发HUP信号给nginx的master进程可以让nginx重新加载配置文件而不需要重新启动nginx进程; Uninterruptible Sle...
Ubuntu 磁盘占用异常排查实录df 显示 1.5TB,但 du 只有 749GB,最终定位 soffice.bin“幽灵文件”
hello.reader
12-09 623
deleted-but-open 文件快照(btrfs/zfs)容器层(docker overlay)这次排查的本质不是“磁盘真的莫名其妙变大”,而是soffice.bin 持有已删除的大型临时文件,形成了典型的“幽灵占用”。你就能从“频繁救火”进入“长期稳定”。
Ubuntu部署 Kubernetes1.23
2401_87853424的博客
12-08 1130
‍。
Ubuntu_install(一)
最新发布
weixin_48870215的博客
12-11 360
Ubuntu_install
学习笔记095——Ubuntu 安装 lrzsz 服务?
code__bee的博客
12-10 380
lrzsz是一款基于协议的文件传输工具集,专门用于在终端环境下实现本地与远程服务器之间的文件上传和下载,是 Linux/Unix 运维和开发场景中常用的轻量级工具。
LinuxUbuntu 24安装webbench
Ape's IT Blog
12-08 937
摘要: Webbench是一款轻量级HTTP/HTTPS压力测试工具,用于评估Web服务的并发性能。在Ubuntu系统中安装时需先通过apt安装gcc、make等依赖,然后克隆或下载源码。编译时若遇到rpc/types.h报错,需安装libtirpc-dev并修改源码中的头文件引用路径。安装完成后,通过webbench -c <并发数> -t <时间> URL命令进行测试,输出结果包括请求速度及成功率。测试HTTPS服务建议改用ab工具。卸载时直接删除二进制文件即可。
fastlio2建图与重定位 neotic ubuntu20.04
liiiuzy的博客
12-08 448
FAST_LIO 建图程序我是直接下载的源码,如果想和FAST_LIO_Localization放在一个工作空间,只要改下CMakeLists.txt文件中的变量名,以避免就行。2、将FAST_LIO对应的launch文件中的fastlio_mapping也改成fastlio_mapping1,之后就可以开始建图了。这里记得要用git submodule update --init来导入ikdtree模块,不然会报下面错误。这里我就用的Sample Dataset中的点云。
Unix服务器后门检测工具chkrootkit源码解析
chkrootkit检测到的可能问题通常包括但不限于:被修改的系统二进制文件、检测特定的Rootkit签名、检查系统日志文件中的异常行为、检查cron作业以发现异常添加的定时任务、检查可疑的网络连接和进程等。检测到问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

guganly

喜欢就请我喝杯咖啡吧!☕️

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值