Linux病毒 - 挖矿木马 kswapd0

最新推荐文章于 2025-01-14 11:12:18 发布

原创最新推荐文章于 2025-01-14 11:12:18 发布 · 842 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#linux #运维 #服务器

今天客户的服务器CPU爆满，NGINX进程被杀死。。。

使用top查看之后，发现kswapd0占cpu极高，如图: 在这里插入图片描述
就立刻联想到了，是挖矿木马，但是kswapd0是系统进程，感觉哪里又不太对，本想百度确认一下，结果发现很多人都遇到了这种木马，所以就记录一下。

kswapd0是linux系统管理虚拟内存的进程

这里分享一个小技巧，怎么样区分， kswapd0是管理虚拟内存的系统进程，还是挖矿的木马病毒。
一般来说，系统进程的pid都比较小，而木马病毒的pid都比较大。 通过pid很容易就能区分是不是木马病毒。

这种挖矿木马一般还会加crontab任务，如图：
在这里插入图片描述
所以要一并干掉。有些病毒还会关联其他进程，可以使用netstat、lsof等工具排查一下，彻底根除。

搞好之后，cpu就正常了，如图:
在这里插入图片描述
– end –

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

程序员麻城东

关注关注

3
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Linux下清除挖矿病毒kswapd0

zc20081111的博客

04-01

1468

文件路径/proc/11389/root/var/jenkins_home/workspace/UpdateJenkins/trace。容器视角文件路径/var/jenkins_home/workspace/UpdateJenkins/trace。再次强调，一定要修改密码，强度要高，设置了类似Pass1234这类简单密码，直接GG。文件路径/root/.configrc5/a/kswapd0。容器名jenkins001 ---这个是我被黑的容器名称。服务器存在香港异地登录。虽然只是学习用的便宜机器。

服务器（Linux）挖矿木马病毒（kswapd0进程使cpu爆满）

热门推荐

小韩的博客

04-03

3万+

服务器（Linux）挖矿木马病毒（kswapd0进程使cpu爆满）

参与评论您还未登录，请先登录后发表或查看评论

Linux挖矿病毒（kswapd0进程使cpu爆满）

m0_52985087的博客

11-07

7554

事情起因:有台测试服务器很久没用了，突然监控到CPU飙到了95以上，并且阿里云服务器厂商还发送了通知消息，【阿里云】尊敬的xxh: 经检测您的阿里云服务（ECS实例）i-xxx存在挖矿活动。因此很明确服务器中挖矿病毒。

玄机——第九章-查杀linux挖矿病毒 kswapd0（应急响应） wp

焦虑的焦虑

07-12

3046

第九章-kswapd0挖矿

kswapd0 是系统的虚拟内存管理程序，也可能是伪装的挖矿病毒

255.255.255.0

03-29

2599

1.kswapd0 是系统的虚拟内存管理程序，如果物理内存不够用，系统就会唤醒 kswapd0 进程，由 kswapd0 分配磁盘交换空间作缓存，因而占用大量的 CPU 资源。 2.也有挖矿病毒伪装成相同名称，挖矿注意排查 ......

Linux 服务器挖矿木马防护实战：快速切断、清理与加固20250114

Narutolxy的博客

01-14

1056

详解Linux服务器挖矿木马的快速响应、全面清理和系统加固方案，助力运维人员提升应急处置能力。

清理服务器中的挖矿进程kswapd0 & tsm

MaggieTang0622的博客

11-25

1256

挖矿进程kswapd0&tsm清理

伪装为kswapd0进程的挖矿木马

分享身边生活经验blog

06-26

2697

一、起因腾讯云给我发了几封邮件说我的服务器被木马攻击。 image.png 我打开服务器监控一看，闲置的服务器CPU飙升。 image.png 二、排查 2.1 首先查询CPU占用最多的3个进程查使用内存最多的K个进程方式一：ps -aux | sort -k3nr | head -K image.png sort参数说明： |选项 |说明 |—————|————————————————————————— |-n |依照数值的大小排序，不加-n按字符串大小

【安全】查杀linux挖矿病毒 kswapd0

飞的博客

04-11

3197

按照腾讯云报道，此次攻击为“亡命徒（Outlaw）僵尸网络”该僵尸网络最早于2018年被发现，其主要特征为通过SSH爆破攻击目标系统，同时传播基于Perl的Shellbot和门罗币挖矿木马。高cpu占用，使用top命令查看cpu使用率长时间50%以上，cpu占用异常的进程八成就是挖矿病毒进程。此病毒隐藏了自己，top命令无法查看到挖矿病毒进程，可通过sysdig命令找到隐藏进程。注意，该进程有子进程spamd child，需要一同清理，否则会再次重启。同时检查如下目录，将可疑文件清理掉。

Linux kswapd0 进程CPU占用过高

ako881010的博客

06-11

2697

图便宜买了个1核1G虚拟机，启动两个jar后cpu飙升直接卡死，查看cpu及内存占用发现kswapd0进程cpu占用一直居高不下，于是查询资料，总结如下。 swap分区的作用是当物理内存不足时，会将一部分硬盘当做虚拟内存来使用。 kswapd0 占用过高是因为物理内存不足，使用swap分区与内存换页操作交换数据，导致CPU占用过高。可以通过修改 /etc...

kswapd0

喝醉酒的小白

07-09

3800

Linux kswapd0 进程CPU占用过高 kswapd0 进程CPU占用过高

应急响应-挖矿病毒（kswapd0）

weixin_45690589的博客

10-10

1409

应急响应-挖矿病毒（kswapd0）

centos kswapd0 挖矿木马病毒进程CPU100解决

1193379199的博客

01-20

1436

很多病毒都是有会在定时任务里面，以至于很难清理清楚。（由于我的服务器买油开启定时任务服务，所以里面没有任务）2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪，占据了99%以上的CUP，查找资料后，发现它就是挖矿进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下，查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。

linux桌面环境下，设置kswapd0(虚拟内存管理进程)

u012441962的博客

09-21

521

cat /proc/sys/vm/swappiness 可以查看swap虚拟内存交换参数（ram–>rom） kswapd0进程的作用：它是虚拟内存管理中，负责换页的，操作系统每过一定时间就会唤醒kswapd ，看看内存是否紧张，如果不紧张，则睡眠，在 kswapd 中，有2 个阀值，pages_hige 和 pages_low，当空闲内存页的数量低于 pages_low 的时候，kswapd进程就会扫描内存并且每次释放出32 个free pages，直到 free page 的数量到达pages_h

Linux的进程kswapd0占用CPU过高导致卡顿问题

没刮胡子的程序员专栏

02-22

1772

最近发现服务器访问速度变慢，内存占得很满，操作经常卡顿，因为部署了不少的服务，有应用服务，也有数据库服务都很吃内存，但是查看还剩余2G左右内存，应该不至于卡顿，于是准备处理一下。看了系统经常发现一个进程kswapd0 一阵一阵的占用超高的CPU资源。查了一些资料说，系统物理内存不足时，kswapd0 会频繁的进行换页操作（使用swap分区与内存换页操作交换数据），而换页操作非常消耗 CPU 资源，所以导致该进程持续占用 CPU 资源过高。

Linux kswapd0进程CPU占用过高,病毒清理

zhangjunli的博客

08-21

1万+

<div id="bgchange" style="width: 660px;"> <div class="fontsize_bgcolor_controler"> <div class="a_bgcolor"> <img src="http://pubimage.360doc.com/NewArticle/bgcolor.jpg"> <div class="a_colorlist"> <span class="a_color1" oncli

Linux 服务器 kswapd0 进程 CPU占满

Lonelypatients°的博客

07-15

2347

引言今天再一次体验整个cpu 占满的问题, 并且究其根本,寻找问题所在, 真的是欲哭无泪了, 太难了! 第一次没有太在意, 重启了服务器好像好了那么一阵, 最近呢,又往服务器上部署了项目, 今天终于又一次复现了. 排查问题如果通过 **top** 等监控发现 kswapd0 进程持续处于非睡眠状态，且运行时间较长并持续占用较高 CPU 资源，则通常是由于系统在持续的进行换页操作所致。则可以通过 **free -m** 、**ps** 等指令进一步查询系统及系统内进程的内存占用情况，做进一步排

linux kswapd0进程cpu占用一直居高不下

u010674101的专栏

06-27

4087

kswapd0是 Linux 内核中的一个进程，负责管理虚拟内存和交换（swap）操作。当该进程的 CPU 占用率居高不下时，通常表示系统正在频繁地进行交换操作，可能由于内存不足或内存使用不合理。

linux PF_KSWAPD

最新发布

06-20

<think>我们正在讨论Linux内核中的PF_KSWAPD标志。根据我的知识，PF_KSWAPD是进程标志（在task_struct的flags字段中）的一部分，用于标识kswapd内核线程。kswapd是内核中负责页面回收（内存回收）的关键线程，当系统内存不足时，它会尝试回收页面以维持系统的正常运行。引用[1]提到了伙伴系统的初始化，引用[2]提到了内存回收机制（min_free_kbytes），引用[3]提到了伙伴系统的分配函数。这些都与内存管理有关，但并没有直接提到PF_KSWAPD。然而，根据Linux内核源代码，我们可以知道PF_KSWAPD标志的定义（通常在include/linux/sched.h中）以及它在kswapd线程中的使用。在Linux内核中，kswapd线程在初始化时（mm/vmscan.c）会设置当前进程的flags为PF_KSWAPD，这样在内存回收的代码路径中，可以通过current->flags&PF_KSWAPD来判断当前执行上下文是否是kswapd线程。这对于内存回收行为有影响，因为kswapd线程回收内存的方式和直接回收（例如，在分配内存时因内存不足而触发的回收）有所不同。具体来说，kswapd线程以异步方式回收内存，不会阻塞进程，而直接回收则可能发生在进程的上下文中，并且可能会阻塞当前进程。因此，在回收内存时，根据是否是kswapd线程，内核可能会采取不同的策略，例如回收的积极程度。下面是一个简要的总结：-PF_KSWAPD是一个进程标志，用于标识当前进程是kswapd内核线程。-kswapd线程负责在后台回收内存，以保持系统的空闲内存高于一定的阈值（由min_free_kbytes等参数控制）。-在内存回收的代码中，通过检查当前进程是否设置了PF_KSWAPD标志，可以调整回收行为（例如，kswapd线程可以允许更轻量级的锁操作，或者更积极地回收页面，因为它运行在后台，不会阻塞用户进程）。由于我们没有直接引用到PF_KSWAPD的文档，以上解释基于对内核代码的理解。现在，根据要求生成相关问题。</think>### Linux内核中PF_KSWAPD标志解析在Linux内核中，`PF_KSWAPD`是定义在`include/linux/sched.h`中的进程标志位（`task_struct->flags`），专门用于标识**kswapd内核线程**。kswapd是内核的内存回收守护进程，负责在后台维护系统内存平衡[^2]。 #### 主要作用和特性： 1. **线程标识** 当`current->flags & PF_KSWAPD`为真时，表明当前执行上下文是kswapd线程。例如在`mm/vmscan.c`中： ```c if (current_is_kswapd()) // 内部检查PF_KSWAPD reclaim_mode |= RECLAIM_MODE_KSWAPD; ``` 2. **行为区分** 内存回收逻辑通过此标志区分kswapd后台回收与直接内存回收（如`__alloc_pages_slowpath()`触发的同步回收）： - kswapd采用**异步回收策略**，不阻塞进程 - 直接回收是**同步阻塞操作**，可能引起进程延迟 3. **回收阈值控制** kswapd根据`/proc/sys/vm/min_free_kbytes`[^2]设定的阈值触发回收： ```math \text{回收触发点} = \text{min_free_kbytes} + (\text{总内存} \times 0.5\%) ``` 当系统可用内存低于此值时，kswapd被唤醒工作。 #### 典型应用场景： - **页面回收决策** 在`shrink_node()`函数中，根据`PF_KSWAPD`决定扫描页面的积极程度： ```c if (current_is_kswapd()) scan_balance = SCAN_FRACT; // 采用温和扫描策略 else scan_balance = SCAN_EQUAL; // 直接回收需更激进 ``` - **避免死锁设计** kswapd线程在回收时会临时清除`PF_KSWAPD`标志： ```c current->flags &= ~PF_KSWAPD; shrink_zones(...); current->flags |= PF_KSWAPD; ``` 防止在回收路径中重复调用kswapd自身[^3]。