Linux病毒 - 挖矿木马 kswapd0

最新推荐文章于 2025-09-30 17:51:18 发布
原创 最新推荐文章于 2025-09-30 17:51:18 发布 · 982 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

今天客户的服务器CPU爆满,NGINX进程被杀死。。。

使用top查看之后,发现kswapd0占cpu极高,如图:在这里插入图片描述
就立刻联想到了,是挖矿木马,但是kswapd0是系统进程,感觉哪里又不太对,本想百度确认一下,结果发现很多人都遇到了这种木马,所以就记录一下。

kswapd0是linux系统管理虚拟内存的进程

这里分享一个小技巧,怎么样区分, kswapd0是管理虚拟内存的系统进程,还是挖矿的木马病毒。
一般来说,系统进程的pid都比较小,而木马病毒的pid都比较大。 通过pid很容易就能区分是不是木马病毒。

这种挖矿木马一般还会加crontab任务,如图:
在这里插入图片描述
所以要一并干掉。有些病毒还会关联其他进程,可以使用netstat、lsof等工具排查一下,彻底根除。

搞好之后,cpu就正常了,如图:
在这里插入图片描述
– end –

Linux下清除挖矿病毒kswapd0
zc20081111的博客
04-01 1664
文件路径/proc/11389/root/var/jenkins_home/workspace/UpdateJenkins/trace。容器视角文件路径/var/jenkins_home/workspace/UpdateJenkins/trace。再次强调,一定要修改密码,强度要高,设置了类似Pass1234这类简单密码,直接GG。文件路径/root/.configrc5/a/kswapd0。容器名jenkins001 ---这个是我被黑的容器名称。服务器存在香港异地登录。虽然只是学习用的便宜机器。
Linux挖矿病毒kswapd0进程使cpu爆满)
m0_52985087的博客
11-07 9415
事情起因:有台测试服务器很久没用了,突然监控到CPU飙到了95以上,并且阿里云服务器厂商还发送了通知消息,【阿里云】尊敬的xxh: 经检测您的阿里云服务(ECS实例)i-xxx存在挖矿活动。因此很明确服务器挖矿病毒
Linux系统中kswapd0高CPU占用问题的全面分析与解决方案
最新发布
喝醉酒的小白
09-30 1370
kswapd0Linux内核中负责内存回收的核心守护进程,其全称为"Kernel Swap Daemon"。作为Linux虚拟内存管理系统的重要组成部分,kswapd0承担着在系统内存紧张时自动执行页面回收的关键任务。与用户空间进程不同,kswapd0是一个内核线程,专门负责异步回收内存,其主要职责包括管理内存的页面回收(Page Reclamation),当系统的内存使用接近阈值(如vm.min_free_kbytes等参数决定)时,kswapd0会主动运行,扫描物理内存并回收不活跃的页面。
新手教学系列——kswapd0 CPU占用100%问题解析与解决
weixin_41701856的博客
07-08 1964
通过这次异常问题的解决,我深刻认识到,即使是看似常规的问题,也可能有不寻常的原因。遇到类似情况时,务必要仔细排查各个细节,切勿掉以轻心。检查系统进程的用户:任何异常进程的执行用户都可能是问题的关键。及时终止异常进程:发现异常进程后,及时终止可以避免问题恶化。清理废弃账号:确保系统中没有多余的账号,以减少潜在的安全隐患。关注系统日志:定期检查系统日志,及时发现潜在问题。总而言之,系统运维中要时刻保持警惕,深入分析和解决问题的能力是确保系统稳定运行的关键。相信一句话,“事出反常必有妖”。
服务器Linux挖矿木马病毒kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 3万+
服务器Linux挖矿木马病毒kswapd0进程使cpu爆满)
玄机——第九章-查杀linux挖矿病毒 kswapd0(应急响应) wp
焦虑的焦虑
07-12 3334
第九章-kswapd0挖矿
Linux kswapd0 进程CPU占用过高
ako881010的博客
06-11 2750
图便宜买了个1核1G虚拟机,启动两个jar后cpu飙升直接卡死,查看cpu及内存占用 发现kswapd0进程cpu占用一直居高不下,于是查询资料,总结如下。 swap分区的作用是当物理内存不足时,会将一部分硬盘当做虚拟内存来使用。 kswapd0 占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过高。 可以通过修改 /etc...
清理服务器中的挖矿进程kswapd0 & tsm
MaggieTang0622的博客
11-25 1296
挖矿进程kswapd0&tsm清理
Linux 服务器挖矿木马防护实战:快速切断、清理与加固20250114
Narutolxy的博客
01-14 1264
详解Linux服务器挖矿木马的快速响应、全面清理和系统加固方案,助力运维人员提升应急处置能力。
kswapd0 是系统的虚拟内存管理程序,也可能是伪装的挖矿病毒
255.255.255.0
03-29 2654
1.kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。 2.也有挖矿病毒伪装成相同名称,挖矿注意排查 ......
【安全】查杀linux挖矿病毒 kswapd0
飞的博客
04-11 3451
按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。高cpu占用,使用top命令查看cpu使用率长时间50%以上,cpu占用异常的进程八成就是挖矿病毒进程。此病毒隐藏了自己,top命令无法查看到挖矿病毒进程,可通过sysdig命令找到隐藏进程。注意,该进程有子进程spamd child,需要一同清理,否则会再次重启。同时检查如下目录,将可疑文件清理掉。
linux桌面环境下,设置kswapd0(虚拟内存管理进程)
u012441962的博客
09-21 611
cat /proc/sys/vm/swappiness 可以查看swap虚拟内存交换参数(ram–>rom) kswapd0进程的作用:它是虚拟内存管理中,负责换页的,操作系统每过一定时间就会唤醒kswapd ,看看内存是否紧张,如果不紧张,则睡眠,在 kswapd 中,有2 个阀值,pages_hige 和 pages_low,当空闲内存页的数量低于 pages_low 的时候,kswapd进程就会扫描内存并且每次释放出32 个free pages,直到 free page 的数量到达pages_h
kswapd0
喝醉酒的小白
07-09 3931
Linux kswapd0 进程CPU占用过高 kswapd0 进程CPU占用过高
应急响应-挖矿病毒kswapd0
weixin_45690589的博客
10-10 1509
应急响应-挖矿病毒kswapd0
centos kswapd0 挖矿木马病毒进程CPU100解决
1193379199的博客
01-20 1572
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
Linux的进程kswapd0占用CPU过高导致卡顿问题
没刮胡子的程序员专栏
02-22 1962
最近发现服务器访问速度变慢,内存占得很满,操作经常卡顿,因为部署了不少的服务,有应用服务,也有数据库服务都很吃内存,但是查看还剩余2G左右内存,应该不至于卡顿,于是准备处理一下。看了系统经常发现一个进程kswapd0 一阵一阵的占用超高的CPU资源。查了一些资料说,系统物理内存不足时,kswapd0 会频繁的进行换页操作(使用swap分区与内存换页操作交换数据),而换页操作非常消耗 CPU 资源,所以导致该进程持续占用 CPU 资源过高。
Linux kswapd0进程CPU占用过高,病毒清理
zhangjunli的博客
08-21 1万+
<div id="bgchange" style="width: 660px;"> <div class="fontsize_bgcolor_controler"> <div class="a_bgcolor"> <img src="http://pubimage.360doc.com/NewArticle/bgcolor.jpg"> <div class="a_colorlist"> <span class="a_color1" oncli
Linux系统 kswapd0进程对于CPU占有率高的情况下排查到黑客植入脚本
CXX88888888的博客
08-08 1313
1.就是跟着进程找找目录,然后杀进程,清目录2.清定时任务3.服务器的ftp端口最好别用22,密码尽量设置复杂点4.尽量用密钥连接服务器,最好别用账号密码连接5.封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)6.密码增强复杂性7.及时修补系统和软件漏洞。
linux PF_KSWAPD
06-20
我们正在讨论Linux内核中的PF_KSWAPD标志。根据我的知识,PF_KSWAPD是进程标志(在task_struct的flags字段中)的一部分,用于标识kswapd内核线程。kswapd是内核中负责页面回收(内存回收)的关键线程,当系统内存...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值