Linux服务器kswapd0病毒查杀处理

原创 已于 2023-03-30 11:10:04 修改 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #linux

于 2023-03-30 10:35:15 首次发布
公司测试服务器被乌克兰IP攻击,CPU占满无法登录。处理措施包括在腾讯云安全组将攻击IP列入黑名单、修改安全策略、修改ssh密码、杀死病毒进程、清理病毒计划任务及相关文件,最后重启服务器。还给出安全建议,如减少端口开放、增强密码复杂性、及时修补漏洞。

公司的测试服务器突然登录不上去了,用宝塔查看了一下,发现CPU被占满了,登录腾讯云账号,发现有几条预警,说服务器被一个乌克兰的IP攻击了。

首先在腾讯云安全组策略里,把这个IP列为全端口黑名单,然后修改安全策略,除了80,443等端口,其它的端口都只把公司的外网IP设为白名单。

然后修改ssh密码,用宝塔登录服务器,top一下,发现一个kswapd0的进程占满了CPU。

 使用kill -9 pid 命令杀死病毒进程。

使用 crontab -e 命令查看计划任务,发现多了不少病毒的计划任务。

把计划任务中病毒的路径备份一下,然后清理计划任务。

把计划任务中病毒路径下的文件也删除掉。

重启服务器,OK。

最后的安全建议:

  • 端口能不对外开放尽量不对外开放
  • ssh密码要增强复杂性,不要用一些容易被破解的密码
  • 及时修补漏洞
培根芝士
关注
Linux下清除挖矿病毒kswapd0
zc20081111的博客
04-01 1645
文件路径/proc/11389/root/var/jenkins_home/workspace/UpdateJenkins/trace。容器视角文件路径/var/jenkins_home/workspace/UpdateJenkins/trace。再次强调,一定要修改密码,强度要高,设置了类似Pass1234这类简单密码,直接GG。文件路径/root/.configrc5/a/kswapd0。容器名jenkins001 ---这个是我被黑的容器名称。服务器存在香港异地登录。虽然只是学习用的便宜机器。
Linux挖矿病毒kswapd0进程使cpu爆满)
m0_52985087的博客
11-07 9319
事情起因:有台测试服务器很久没用了,突然监控到CPU飙到了95以上,并且阿里云服务器厂商还发送了通知消息,【阿里云】尊敬的xxh: 经检测您的阿里云服务(ECS实例)i-xxx存在挖矿活动。因此很明确服务器中挖矿病毒
Linux系统中kswapd0高CPU占用问题的全面分析与解决方案
最新发布
喝醉酒的小白
09-30 1337
kswapd0Linux内核中负责内存回收的核心守护进程,其全称为"Kernel Swap Daemon"。作为Linux虚拟内存管理系统的重要组成部分,kswapd0承担着在系统内存紧张时自动执行页面回收的关键任务。与用户空间进程不同,kswapd0是一个内核线程,专门负责异步回收内存,其主要职责包括管理内存的页面回收(Page Reclamation),当系统的内存使用接近阈值(如vm.min_free_kbytes等参数决定)时,kswapd0会主动运行,扫描物理内存并回收不活跃的页面。
新手教学系列——kswapd0 CPU占用100%问题解析与解决
weixin_41701856的博客
07-08 1942
通过这次异常问题的解决,我深刻认识到,即使是看似常规的问题,也可能有不寻常的原因。遇到类似情况时,务必要仔细排查各个细节,切勿掉以轻心。检查系统进程的用户:任何异常进程的执行用户都可能是问题的关键。及时终止异常进程:发现异常进程后,及时终止可以避免问题恶化。清理废弃账号:确保系统中没有多余的账号,以减少潜在的安全隐患。关注系统日志:定期检查系统日志,及时发现潜在问题。总而言之,系统运维中要时刻保持警惕,深入分析和解决问题的能力是确保系统稳定运行的关键。相信一句话,“事出反常必有妖”。
kswapd0病毒处理
GeeLoong`s Blog
07-17 7619
kswapd0挖矿病毒
Linux kswapd0 进程CPU占用过高
ako881010的博客
06-11 2742
图便宜买了个1核1G虚拟机,启动两个jar后cpu飙升直接卡死,查看cpu及内存占用 发现kswapd0进程cpu占用一直居高不下,于是查询资料,总结如下。 swap分区的作用是当物理内存不足时,会将一部分硬盘当做虚拟内存来使用。 kswapd0 占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过高。 可以通过修改 /etc...
kswapd0病毒查杀过程
Tangroo的博客
06-28 5319
一、发现病毒 1、服务器负载异常高 2、使用top命令查看到kswapd0进程是用test用户起的 3、查看应用连接发现有外网IP连接 4、查询IP归属地,发现是荷兰的IP 5、查看程序的路径,发现是在test用户的家目录里 6、查看crontab计划任务 7、查看/tmp目录是否有异常文件   结果是 /tmp目录下有一个脚本test用户的文件 8、查看进程,发现有个redis的进程 二、处理病毒 1、删除所有的crontab计划任务 crontab -e -u test 2、杀掉病毒进程
kswapd0病毒查杀
jilijo的博客
06-30 3190
6月27日发现CPU被挤爆 通过top查看进程使用情况发现属于git用户下出现许多进程,占用满的CPU 处理办法 直接kill掉git用户下的所有进程! 6月28日观察,并未发现异常。 6月29日休息,系统未报异常。 6月30日早晨发现CPU占用50%多,正常只占用10%不到 使用top查看进程使用情况,发现一个进程占用了50%(总24核,占了12核)的cpu top -c 参照TR946的博文进行排查 1、查看应用连接 netstat -anltp|grep kswapd0 2、发现外网ip
linux vps服务器进程kswapd0与events/0消耗大量CPU的问题
01-11
今天下午网站宕了两次机,发工单给阿里云,发现原因是服务器的CPU 100%了。 重启服务器后,使用 top 命令看看是哪些进程消耗那么大的 ...当 mysql 的 CPU 消耗降下来之后,出现了两个奇怪的进程:kswapd0 和 events/0
服务器Linux)挖矿木马病毒kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 3万+
服务器Linux)挖矿木马病毒kswapd0进程使cpu爆满)
玄机——第九章-查杀linux挖矿病毒 kswapd0(应急响应) wp
焦虑的焦虑
07-12 3292
第九章-kswapd0挖矿
linux桌面环境下,设置kswapd0(虚拟内存管理进程)
u012441962的博客
09-21 593
cat /proc/sys/vm/swappiness 可以查看swap虚拟内存交换参数(ram–>rom) kswapd0进程的作用:它是虚拟内存管理中,负责换页的,操作系统每过一定时间就会唤醒kswapd ,看看内存是否紧张,如果不紧张,则睡眠,在 kswapd 中,有2 个阀值,pages_hige 和 pages_low,当空闲内存页的数量低于 pages_low 的时候,kswapd进程就会扫描内存并且每次释放出32 个free pages,直到 free page 的数量到达pages_h
linux处理kdevtmpfsi,kswapd0(挖矿病毒清除)
bluesease的博客
12-12 3232
kdevtmpfsi,kswapd0挖矿病毒问题处理
kswapd0
喝醉酒的小白
07-09 3922
Linux kswapd0 进程CPU占用过高 kswapd0 进程CPU占用过高
应急响应-挖矿病毒kswapd0
weixin_45690589的博客
10-10 1496
应急响应-挖矿病毒kswapd0
Linux的进程kswapd0占用CPU过高导致卡顿问题
没刮胡子的程序员专栏
02-22 1949
最近发现服务器访问速度变慢,内存占得很满,操作经常卡顿,因为部署了不少的服务,有应用服务,也有数据库服务都很吃内存,但是查看还剩余2G左右内存,应该不至于卡顿,于是准备处理一下。看了系统经常发现一个进程kswapd0 一阵一阵的占用超高的CPU资源。查了一些资料说,系统物理内存不足时,kswapd0 会频繁的进行换页操作(使用swap分区与内存换页操作交换数据),而换页操作非常消耗 CPU 资源,所以导致该进程持续占用 CPU 资源过高。
linux kswapd0进程cpu占用一直居高不下
u010674101的专栏
06-27 4763
kswapd0Linux 内核中的一个进程,负责管理虚拟内存和交换(swap)操作。当该进程的 CPU 占用率居高不下时,通常表示系统正在频繁地进行交换操作,可能由于内存不足或内存使用不合理。
Linux病毒 - 挖矿木马 kswapd0
富强、文明、自由、平等、公正
06-05 964
就立刻联想到了,是挖矿木马,但是kswapd0是系统进程,感觉哪里又不太对,本想百度确认一下,结果发现很多人都遇到了这种木马,所以就记录一下。有些病毒还会关联其他进程,可以使用netstat、lsof等工具排查一下,彻底根除。这里分享一个小技巧,怎么样区分, kswapd0是管理虚拟内存的系统进程,还是挖矿的木马病毒。今天客户的服务器CPU爆满,NGINX进程被杀死。通过pid很容易就能区分是不是木马病毒
如何处理干净kswapd0
09-05
处理干净kswapd0问题,可以尝试以下几个步骤: 1. 检查系统资源使用情况:使用命令`top`或`htop`查看系统中的进程和资源使用情况。确认是否存在任何异常或过高的内存使用。 2. 更新内核和驱动程序:确保你的系统...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值