Linux挖矿病毒（kswapd0进程使cpu爆满）

原创

已于 2024-11-07 16:27:53 修改 · 9.2k 阅读

50 ·

CC 4.0 BY-SA版权

文章标签：

#linux #运维 #服务器

于 2024-11-07 16:09:16 首次发布

一、摘要

事情起因:有台测试服务器很久没用了，突然监控到CPU飙到了95以上，并且阿里云服务器厂商还发送了通知消息，【阿里云】尊敬的xxh: 经检测您的阿里云服务（ECS实例）i-xxx存在挖矿活动。因此很明确服务器中挖矿病毒。

二、排查病毒

1.检查服务器的CPU和内存使用率 top

也可以通过阿里云的监控平台查看进程的CPU和内存的占用率，并且还可以告知你进程目录。

发现进程（kauditd0）占用很高的CPU。并且test用户从来没创建过，而且直接通过kill 命令杀死进程之后不到一分钟又会启动。

2.检查系统登录日志

# 系统日志一般在 /var/log 目录
# 查看登录日志 可能是auth.log 或 securexx.log相关日志，都可以查看

# 此命令是检查登录失败的信息
more /var/log/auth.log | grep "Failed password"
# 此命令是检查登录成功的信息
more /var/log/auth.log | grep "Accepted password"

从上图可知，有人一直在尝试登录系统。

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

荒Huang

关注关注

29
点赞
踩
50

收藏

觉得还不错? 一键收藏
3
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Linux下清除挖矿病毒kswapd0

zc20081111的博客

04-01

1620

文件路径/proc/11389/root/var/jenkins_home/workspace/UpdateJenkins/trace。容器视角文件路径/var/jenkins_home/workspace/UpdateJenkins/trace。再次强调，一定要修改密码，强度要高，设置了类似Pass1234这类简单密码，直接GG。文件路径/root/.configrc5/a/kswapd0。容器名jenkins001 ---这个是我被黑的容器名称。服务器存在香港异地登录。虽然只是学习用的便宜机器。

auditd和kswapd0导致kylin环境内存CPU占用过高

qq_44229840的博客

01-22

2456

通过网上查阅发现，当环境内存不足时，kswapd0会频繁进行换页操作，此操作会导致kswapd0占用过多cpu资源。探查发现环境内kswapd0几乎吃满了所有cpu资源，导致执行shell命令都变慢。此时通过top命令和shift+M查到了占用内存资源最多的auditd进程。auditd部分版本可能存在内存泄漏的问题，导致占用过多资源。重启后，环境内存和cpu恢复正常。尝试重启auditd进程。

3 条评论您还未登录，请先登录后发表或查看评论

4 条评论

阿J~ 2024.12.05
赞赞赞，你真是个小天才哦

firework_isme 2024.11.14
当遇到相同问题才知道这个文章的珍贵[face]emoji:010.png[/face]

征途黯然. 2024.11.11
"高效诊断，精准清除！通过系统日志、进程追踪和定时任务排查，成功抵御了服务器挖矿病毒入侵，展示了出色的技术应对能力！"

kauditd0挖矿病毒清理

热门推荐

小韩的博客

04-03

3万+

服务器（Linux）挖矿木马病毒（kswapd0进程使cpu爆满）

linux系统中挖矿病毒

杭州吉网-运维日记

01-13

802

原创作者：运维工程师谢晋 linux系统中挖矿病毒错误信息解决问题错误信息客户这边说某台虚拟机CPU突然暴增，用完了整个宿主机CPU资源可以看到CPU使用确实很高登录系统查看CPU使用情况使用top查看CPU使用情况 # top 可以看到kdevtmpfsi进程，该进程明显是挖矿病毒进程解决问题如果直接kill掉kdevtmpfsi程序后续还会反复运行，所以要一次停掉他相关进程打印出所有进程 # ps aux 可以看到kdevtmpfsi进程和他的守护进程kinsi

Linux服务器挖矿病毒处理

自己在学习过程中的总结

06-19

3853

情况说明：挖矿进程被隐藏（CPU占用50%，htop/top却看不到异常进程），结束挖矿进程后马上又会运行起来（crontab -l查看发现没有定时任务）。1.中毒表现 2.解决办法：断网并修改root密码，找出隐藏的挖矿进程，关闭病毒启动服务，杀掉挖矿进程 3. 防止黑客再次入侵：查找异常IP，封禁异常IP，查看是否有陌生公钥。中毒表现：服务器是24核的，前12核的CPU占用一直处于100%，即使重启服务器，马上就会占用12核的CPU，并且系统内存占用也很大。在没有使用软件的情况下，CPU使用率很高。

linux服务器挖矿病毒处理方案

liu854046222的专栏

10-22

4956

情况说明：挖矿进程被隐藏（CPU占用50%，htop/top却看不到异常进程），结束挖矿进程后马上又会运行起来（crontab -l查看发现没有定时任务）。

挖矿病毒的清理 kswapd0

MenzilBiz的博客

10-17

338

先从netstat指令的结果中排除本机和本机业务相关的IP地址，再从剩下的IP中排查可疑的。查了一下的 13555，23588 进程的目标IP地址，都是国外IP。本机业务没有任何跟国外IP交互的部分，可以确定是这个 13555 进程是可疑的。

kswapd0进程占用CPU非常高--解决方案.docx

08-13

kswapd0是Linux内核的一个后台进程，它的主要职责是负责内存交换，即当物理内存不足时，将不活跃的页面（内存页）移动到磁盘上的交换空间，以便为新的内存请求腾出空间。当kswapd0的CPU占用率过高，可能有以下几个...

【linux】挖矿病毒nanominer伪装成python占用服务器GPU！本文带你分析并杀毒！

weixin_43693967的博客

05-18

4634

linux中了伪装成python的挖矿病毒，可以看到root用户将GPU的核心跑满了每个占用都是100%，显存吃了6G多。本文详细记录了病毒的原理和查杀记录

linux kswapd0进程cpu占用一直居高不下

u010674101的专栏

06-27

4747

kswapd0是 Linux 内核中的一个进程，负责管理虚拟内存和交换（swap）操作。当该进程的 CPU 占用率居高不下时，通常表示系统正在频繁地进行交换操作，可能由于内存不足或内存使用不合理。

Linux kswapd0 进程CPU占用过高

ako881010的博客

06-11

2738

图便宜买了个1核1G虚拟机，启动两个jar后cpu飙升直接卡死，查看cpu及内存占用发现kswapd0进程cpu占用一直居高不下，于是查询资料，总结如下。 swap分区的作用是当物理内存不足时，会将一部分硬盘当做虚拟内存来使用。 kswapd0 占用过高是因为物理内存不足，使用swap分区与内存换页操作交换数据，导致CPU占用过高。可以通过修改 /etc...

Linux服务器挖矿病毒彻底清除与防护实操指南

boydoy1987的专栏

08-07

2750

Linux服务器在遭受挖矿病毒攻击时，会严重影响其性能和数据安全。本文将提供一套详细的操作步骤，结合实际案例，帮助您彻底清除Linux服务器上的挖矿病毒，并实施有效的防护措施。

应急响应实战笔记——Linux实战篇：③ 挖矿病毒

君逍遥o

04-10

1174

随着虚拟货币的疯狂炒作，利用挖矿脚本来实现流量变现，使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为，并结合了高级攻击技术，以增加对目标服务器感染的成功率，通过利用永恒之蓝（EternalBlue）、web攻击多种漏洞（如Tomcat弱口令攻击、Weblogic WLS组件漏洞、Jboss反序列化漏洞、Struts2远程命令执行等），导致大量服务器被感染挖矿程序的现象。

Linux系统 kswapd0进程对于CPU占有率高的情况下排查到黑客植入脚本

CXX88888888的博客

08-08

1295

1.就是跟着进程找找目录，然后杀进程，清目录2.清定时任务3.服务器的ftp端口最好别用22,密码尽量设置复杂点4.尽量用密钥连接服务器，最好别用账号密码连接5.封闭不使用的端口，做到用一个开一个（通过防火墙和安全组策略）6.密码增强复杂性7.及时修补系统和软件漏洞。

linux中了挖矿病毒详细解决方案

wu_qing_song的博客

10-27

5618

linux挖矿病毒已解决

linux解决挖矿病毒

qianjiu520的博客

05-30

1068

linux解决挖矿病毒

kswapd0进程占用cpu非常高

06-09

如果kswapd0进程占用CPU非常高，可能是由于系统内存不足，导致kswapd0频繁地进行内存交换和清理操作，从而导致CPU占用率高。解决这个问题的方法主要是增加系统内存或者调整内存管理参数。如果系统内存不足，可以...