服务器被植入木马--记录解决kswapd0 CPU占用率高的问题

最新推荐文章于 2025-09-30 17:51:18 发布
原创 最新推荐文章于 2025-09-30 17:51:18 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一次清除服务器上的挖矿木马的经历。通过使用top命令发现CPU占用异常,并找到恶意进程kswapd0,最终采取了杀死进程、清理计划任务及删除相关文件等措施成功解决问题。

自购百度云服务器一台,做网站测试用,配置不高,某天突然发现网站访问出问题了,登录使用top命令查看,发现CPU几乎被耗尽,如下:

其中kswapd0的进程很可疑,进一步查看了网络情况,发现其对外访问了45开头的一个IP,为荷兰的IP,经过网络简单搜索,可以肯定是中了挖矿木马,

 

接着查看该进程对应的目录情况,

 


 

清除过程:

1. 先杀死进程:kill -9 3307

2. 清除crontab

清除以上几个自动启动任务

3. 清除目录

# rm .X25-unix/ -rf

# rm -rf /root/.configrc/

 

完成上述操作后,重启,重启前再次执行前面的命令确认进程或文件是否还存在。
重启后一切正常。

Ubuntu16.04.01 kswapd0 进程占用cpu,中了亡命徒(Outlaw)挖矿B毒
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
05-17 1178
top看一下主机的资源使用情况 kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。(copy) netstat -antlp|grep kswapd0 tcp 0 0 192.168.31.230:45832 45.9.148.58:80 ESTABLISHED 28315/kswapd0 netstat -antlp|grep -e
Linux下清除挖矿病毒kswapd0
zc20081111的博客
04-01 1668
文件路径/proc/11389/root/var/jenkins_home/workspace/UpdateJenkins/trace。容器视角文件路径/var/jenkins_home/workspace/UpdateJenkins/trace。再次强调,一定要修改密码,强度要,设置了类似Pass1234这类简单密码,直接GG。文件路径/root/.configrc5/a/kswapd0。容器名jenkins001 ---这个是我被黑的容器名称。服务器存在香港异地登录。虽然只是学习用的便宜机器。
kswapd0进程对于CPU占有率的情况下排查到黑客植入脚本,与黑客斗智斗勇的三个回合
子冉冰清的博客
03-30 7653
kswapd0进程对于CPU占有率的情况下排查到黑客植入脚本,与黑客斗智斗勇的三个回合 第一回合 最开始大概是半个月前,我突然发现我的百度云服务器上的MySQL连接不上。 但是前一晚还用了。因此可以确定不是账号密码,以及服务器上设置的问题。 于是乎,就登陆到云服务器上,准备去查看一下mysql的运行情况。然后突然敲命令也很卡,感觉可能系统响应太慢了,用toptoptop指令去看下 (上面这个图是我第三回合排查的时候截的图,前面两个回合都没有注意,所以没有截图。) 当我看到这个的时候,吓了一跳。怎么突然
Linux的进程kswapd0占用CPU导致卡顿问题
没刮胡子的程序员专栏
02-22 1966
最近发现服务器访问速度变慢,内存占得很满,操作经常卡顿,因为部署了不少的服务,有应用服务,也有数据库服务都很吃内存,但是查看还剩余2G左右内存,应该不至于卡顿,于是准备处理一下。看了系统经常发现一个进程kswapd0 一阵一阵的占用超CPU资源。查了一些资料说,系统物理内存不足时,kswapd0 会频繁的进行换页操作(使用swap分区与内存换页操作交换数据),而换页操作非常消耗 CPU 资源,所以导致该进程持续占用 CPU 资源过
Linux系统中kswapd0CPU占用问题的全面分析与解决方案
最新发布
喝醉酒的小白
09-30 1380
kswapd0是Linux内核中负责内存回收的核心守护进程,其全称为"Kernel Swap Daemon"。作为Linux虚拟内存管理系统的重要组成部分,kswapd0承担着在系统内存紧张时自动执行页面回收的关键任务。与用户空间进程不同,kswapd0是一个内核线程,专门负责异步回收内存,其主要职责包括管理内存的页面回收(Page Reclamation),当系统的内存使用接近阈值(如vm.min_free_kbytes等参数决定)时,kswapd0会主动运行,扫描物理内存并回收不活跃的页面。
新手教学系列——kswapd0 CPU占用100%问题解析与解决
weixin_41701856的博客
07-08 1969
通过这次异常问题解决,我深刻认识到,即使是看似常规的问题,也可能有不寻常的原因。遇到类似情况时,务必要仔细排查各个细节,切勿掉以轻心。检查系统进程的用户:任何异常进程的执行用户都可能是问题的关键。及时终止异常进程:发现异常进程后,及时终止可以避免问题恶化。清理废弃账号:确保系统中没有多余的账号,以减少潜在的安全隐患。关注系统日志:定期检查系统日志,及时发现潜在问题。总而言之,系统运维中要时刻保持警惕,深入分析和解决问题的能力是确保系统稳定运行的关键。相信一句话,“事出反常必有妖”。
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 3万+
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
kswapd0 是系统的虚拟内存管理程序,也可能是伪装的挖矿病毒
255.255.255.0
03-29 2654
1.kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。 2.也有挖矿病毒伪装成相同名称,挖矿注意排查 ......
精选资源
kswapd0进程占用CPU非常--解决方案.docx
08-13
kswapd0CPU占用率,可能有以下几个原因: 1. **内存不足**:这是最常见的情况,系统可能正在经历内存压力,导致kswapd0频繁地进行页面交换,消耗大量CPU资源。 2. **内存泄漏**:应用程序或系统服务可能...
关于kswapd0 CPU占用率问题
jzz601264258的博客
04-29 2万+
关于kswapd0 CPU占用率问题 很多天前就发现自己的腾讯云服务器一直有个进程CPU占用率 上网查了很多教程都说是因为内存占用较导致系统自动调用kswapd0进程来搬运内存数据到虚拟内存,导致CPU占用率,由于我服务器内存只有2G,所以一直认为是此原因导致,但最近服务器越来越卡,于是乎还是下决心找出原因优化一下 使用netstat -antlp查看系统外部链接时,发现有两个荷...
关于kswapd0 CPU占用率问题,原来是被植入挖矿程序
Less Is More
05-06 1783
朋友做毕设购买了一个百度云服务器,偶然间登录上发现负载较,购买的是低配版的虚拟服务器单核2G内存,想着答辩完后就释放掉 top看了下资源的使用情况发现有个进程使用率过,猜想是中了木马 netstat -antpl 查看一下异常的进程 [root@instance-g0wuu7jx ~]# netstat -antlp|grep -e kswapd0 -e rsync tcp 0 0 172.16.0.4:43804 45.9.148.59:443
Linux病毒 - 挖矿木马 kswapd0
富强、文明、自由、平等、公正
06-05 985
就立刻联想到了,是挖矿木马,但是kswapd0是系统进程,感觉哪里又不太对,本想百度确认一下,结果发现很多人都遇到了这种木马,所以就记录一下。有些病毒还会关联其他进程,可以使用netstat、lsof等工具排查一下,彻底根除。这里分享一个小技巧,怎么样区分, kswapd0是管理虚拟内存的系统进程,还是挖矿的木马病毒。今天客户的服务器CPU爆满,NGINX进程被杀死。通过pid很容易就能区分是不是木马病毒。
关于我的腾讯云服务器木马攻击这件事 -kswapd0 CPU占用率达100% rsync
slience_me的博客
04-08 1105
今天打开我的服务器后台,突然发现我的服务器内存,CPU统统报红,大概这个样子。(PS:这是我修复后描绘的图) 当时就很迷惑, 然后打开xshell, 输入 top 指令,发现有一个进程,占用了大量的cpu,和内存 然后,我接着输入 netstat -antlp 指令,发现令人疑惑的两个进程,发现有两个荷兰IP,其中一个正式kswapd0 然后使用 ls -l /proc/上面的PID/exe 查询进程的路径 然后,你进入这个路径,把这个kswapd0文件删除掉(出于好奇我下载了一下,但是立刻
解决centos服务器遭黑客安装挖矿木马导致kswapd0进程使用的cpu问题
皓亮君的博客
03-07 3098
文章目录简介1.查看kswapd0进程使用的PID2.查看进程的工作空间3.切换到木马程序目录并删除4.清理定时任务5.查看所有用户的定时任务6.清理看kswapd0进程7.修改服务器密码8.总结 简介 最近发现服务器特别卡,然后发现kswapd0占用的cpu达800%,上网科普下kswapd0进程kswapd0占用CPU时, 说明机器的全部内存(物理内存+虚拟内存)已经用尽了,机器不得不把内存里的内容卸载到硬盘, 然后才能加载所要的程序 但是我查看下top发现服务器的内存还有10个G没使用,查阅一些文
Linux kswapd0 进程CPU占用过
ako881010的博客
06-11 2750
图便宜买了个1核1G虚拟机,启动两个jar后cpu飙升直接卡死,查看cpu及内存占用 发现kswapd0进程cpu占用一直居不下,于是查询资料,总结如下。 swap分区的作用是当物理内存不足时,会将一部分硬盘当做虚拟内存来使用。 kswapd0 占用过是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过。 可以通过修改 /etc...
Nginx异常关闭之中了挖矿病毒kswapd0
sunyanchun的专栏
08-12 458
困扰了接近一个月,偶然查询全部定时任务时发现: 5 8 * * 0 /root/.configrc5/b/sync>/dev/null 2>&1,很陌生的一个定时任务,确定自己及其他人没有加过,查询了一下资料是“挖矿病毒kswapd0”相关任务,赶紧查了一下服务器其它信息,确实中招了。3、加入每天自动重启Nginx任务脚本;隔几天还是出现异常关闭。用 rm -rf 命令逐条删除,rm -rf /root/.configrc5/*,或者rm -rf /root/.configrc5/a/kswapd0
kswapd0病毒处理
GeeLoong`s Blog
07-17 7627
kswapd0挖矿病毒
【安全】查杀linux挖矿病毒 kswapd0
飞的博客
04-11 3457
按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马cpu占用,使用top命令查看cpu使用率长时间50%以上,cpu占用异常的进程八成就是挖矿病毒进程。此病毒隐藏了自己,top命令无法查看到挖矿病毒进程,可通过sysdig命令找到隐藏进程。注意,该进程有子进程spamd child,需要一同清理,否则会再次重启。同时检查如下目录,将可疑文件清理掉。
Linux服务器kswapd0病毒查杀处理
培根芝士的专栏
03-30 1418
公司的测试服务器突然登录不上去了,用宝塔查看了一下,发现CPU被占满了,登录腾讯云账号,发现有几条预警,说服务器被一个乌克兰的IP攻击了
kswapd0 cpu 占用率
03-28
kswapd0是Linux内核中的一个守护进程,其主要作用是管理内存交换(Swap)的操作。当系统内存不足时,kswapd0会将一部分内存数据写入Swap空间,以释放物理内存。因此,当系统内存不足时,kswapd0CPU占用率会较。 如果kswapd0CPU占用率持续较,可能是因为系统内存不足,或者Swap空间不足。你可以通过以下方法来解决: 1. 增加物理内存:增加系统内存可以减少kswapd0的工作量,从而降低其CPU占用率。 2. 调整Swap空间大小:如果Swap空间不足,可以通过扩大Swap空间的大小来解决。可以使用命令swapon -s来查看当前系统中Swap空间的使用情况。 3. 优化系统内存使用:优化系统内存使用可以减少kswapd0的工作量,从而降低其CPU占用率。可以通过优化程序内存使用、减少不必要的进程等方式来实现。 4. 更新内核版本:有些Linux内核版本存在kswapd0 CPU占用率问题,更新内核版本可能会解决问题
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值