服务器无故nginx异常关闭之kauditd0 kswapd0挖矿病毒 CPU占用200% 内存耗尽

于 2024-11-13 16:49:00 发布
阅读量2.1k 收藏 11
点赞数 6
文章标签: 服务器 nginx linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_54284859/article/details/143746510
版权

现象:

nginx 每隔一段时间就会被关闭掉, 查看nginx日志 没有任何错误信息或异常信息

采取的办法

  • 将nginx服务设置为自动重启 systemctl enable nginx. 问题依旧存在

  • 查看服务器的内存和CPU占用情况

    • 查看内存占用情况

free -m

发现8G的内存快被占用光了,而我们只开了一个开销不大的java服务,按道理1G就够了。

为什么会占用到将近8G

  • 再查看CPU占用情况 top

top

发现有个kauditd0进程占用了200% 的CPU

经过各种搜索,发现这是一个挖矿病毒

且通过查询最近登录的IP

netstat -natp

发现有各种德国 美国的IP,因此可以确认是中毒了

解决办法

1. 关闭这个病毒开启的定时任务
crontab -l 发现开了许多定时任务,而我们的服务器原来并没有开启定时任务,因此全部清除 
crontab -r

2. 删除病毒文件
find / -name kswapd00 或者 find / -name kswapd0

网上搜索教程上是kswapd0,而此次我们服务器上是 kswapd00

发现如下文件中有

使用命令删除这些文件

rm -rf /root/.configrc7/* 
rm -rf /var/tmp/.X2r-unix/.rsync/*
3. 使用systemctl status 进程号 查看挖矿病毒是如何运行起来的

命令 :
systemctl status 411256

返回结果:
● session-189.scope - Session 189 of user root
     Loaded: loaded (/run/systemd/transient/session-189.scope; transient)
  Transient: yes
     Active: active (abandoned) since Tue 2024-11-12 08:03:29 UTC; 23h ago
      Tasks: 13
     Memory: 60.3M
     CGroup: /user.slice/user-0.slice/session-189.scope
             ├─342148 edac0
             ├─342153 edac0
             ├─342257 sshd@notty
             └─411256 kauditd0

Nov 12 08:03:29 ecs-b309-1113543 systemd[1]: Started Session 189 of user root.
Nov 12 08:03:50 ecs-b309-1113543 sshd[336488]: pam_unix(sshd:session): session closed for user root
Nov 12 10:29:14 ecs-b309-1113543 crontab[341494]: (root) LIST (root)
Nov 12 10:29:14 ecs-b309-1113543 crontab[341496]: (root) REPLACE (root)

kauditd0 进程是在一个名为 session-189.scope 的 systemd 服务单元中运行的,该服务单元是为用户 root 的会话 189 创建的。由于该进程似乎被标记为 active (abandoned),这可能意味着原始启动它的进程或会话已经结束,但该进程仍然在运行

4. Kill 杀死 kaudiod0进程

当我用 命令 kill -9 kaudiod0 杀死进程后,没过一会儿,进程又自动开起来了。

应该是开启了自动重启的服务

因此不用kill -9 ,

而是使用 kill -15 进程号(PID) 杀死挖矿进程,自此挖矿病毒没有再重启

kill -15 411256
5. 不要忘记修改服务器密码
sudo passwd root
定时启停Nginx服务
欢迎你们到来,希望能帮到大家
11-04 135
定时启停nginx服务,避免人工重复操作
记一次挖矿病毒的清除,欢迎来讨论
优快云yingying的博客
01-26 1952
第一次发现服务器异常就是cpu爆满,但没有影响到服务器上的项目正常使用,所以没在意就关掉不用的进程。第二次发现异常是客户反馈项目不能用了,排查问题的时候发现cpu爆满,nginx被停止(当时没有在意这个)。。。废话不多说开始进入正题--------处理kswapd0挖矿程序 一、发现病毒 服务器负载异常的高 1.使用top命令查看实时cpu占用情况,发现kswapd0进程是用root用户起的 2.查看应用连接发现有外网IP连接 3.查询IP归属地,发现是荷兰的IP,后来又看到一个...
Linux挖矿病毒kswapd0进程使cpu爆满)
m0_52985087的博客
11-07 6876
事情起因:有台测试服务器很久没用了,突然监控到CPU飙到了95以上,并且阿里云服务器厂商还发送了通知消息,【阿里云】尊敬的xxh: 经检测您的阿里云服务(ECS实例)i-xxx存在挖矿活动。因此很明确服务器挖矿病毒
(一)Nginx的启动停止
denglongbing的博客
02-01 388
Nginx学习记录写作目的:Nginx的启动Nginx的停止Nginx 的平滑重启 写作目的: 自己作为一个小白,用来记录自己的学习过程,方便以后总结学习; 学习资料:《实战Nginx:取代Apache的高性能Web服务器》; Nginx的启动 启动Nginx执行以下命令: 确定Nginx的安装路径指令: which nginx. 不带参数启动 (将使用默认的配置文件):/usr/sbi...
auditd和kswapd0导致kylin环境内存CPU占用过高
qq_44229840的博客
01-22 2130
通过网上查阅发现,当环境内存不足时,kswapd0会频繁进行换页操作,此操作会导致kswapd0占用过多cpu资源。探查发现环境内kswapd0几乎吃满了所有cpu资源,导致执行shell命令都变慢。此时通过top命令和shift+M查到了占用内存资源最多的auditd进程。auditd部分版本可能存在内存泄漏的问题,导致占用过多资源。重启后,环境内存cpu恢复正常。尝试重启auditd进程。
nginx自动停止,xshell断开nginx进程被杀死
sinat_21561561的博客
03-15 1321
原因主要就是openssh8+以上的版本对安全策略做了修改。
nginx自动停止,xshell断开nginx进程被杀死(踩坑记录)
wang_yi_l的博客
06-16 4759
nginx自动停止,xshell断开nginx进程被杀死(踩坑记录),莫名其妙的问题被我遇到了,前段时间给政府做一个项目,做完了,项目需要部署到政务云的内网服务器里面,他们提供一个对外访问的公网服务器,当我项目部署好,启动nginx访问,一切正常,可是过一段时间nginx莫名其妙的就自动停止了,看了服务器nginx的日志,都看不什么问题,没有任何记录。。。。网上搜了很多,也没有找到问题。 后面我发现只要xshell断开连接,网站就无法访问了,再次连接xsehll登陆服务器查看,nginx进程没有了。。。我
nginx服务异常:本地计算机上的服务启动后又停止。某些服务在未由其他服务或程序使用时将自动停止
qqliukk2123的专栏
10-09 1305
服务异常造成,通过查看日志得以解决;如果没有早些年在MS做过windows开发,还真不能迅速解决此问题。
nginx 启动停止
29岁的裴野永远爱你
10-23 873
https://www.cnblogs.com/codingcloud/p/5095066.html
Nginx 挂了
qq_42499737的博客
08-18 2066
在生产环境上很多时候是以Nginx做反向代理对外提供服务,但是一天Nginx难免遇见故障,如:服务器宕机。当Nginx宕机那么所有对外提供的接口都将导致无法访问。 虽然我们无法保证服务器百分之百可用,但是也得想办法避免这种悲剧,今天我们使用keepalived来实现Nginx的高可用。 什么是高可用? 高可用HA(High Availability)是分布式系统架构设计中必须考虑的因素之一,它通常是指,通过设计减少系统不能提供服务的时间。 如果一个系统能够一直提供服务,那么这个可用性则是百分之百,但
centos实时监测nginx 挂机自动重启服务
12-27
如果服务器nginx挂掉,我们如何第一时间启动它?人工重启?no。 该脚本定时检测nginx状态,挂机自动重启nginx。 如果服务器nginx挂掉,我们如何第一时间启动它?人工重启?no。 该脚本定时检测nginx状态,挂机自动重启nginx
Linux服务器mysql,nginx等自动停止的排查,以及解决方法
weixin_30492047的博客
03-29 604
最近发现自己使用的某台云服务武器只要稍微流量大一点,就会出现莫名的的数据库连接错误的情况 ,然后连上服务器查看,发现mysql进程被结束了,经常出现这种情况,这还怎么得了,然后第一时间查看mysql日志 发现是被进程结束了,好端端的怎么就自己结束了呢,这时候想到应该是mysql进程占用太多内存,然后被系统给kill 掉了.然后 tail /var/log/messages 查看服务器的系统日志/v...
nginx被攻击的遭遇
12-03 1362
服务器是安装的1.14版本的nginx 被攻击的现象是: 服务器内存被消耗完,有多少就消耗多少。 系统无法进入。 断开网络并重启后方可进入。 使用top命令查询,占用cup的进程是kswapd0, kswapd0 占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过高。 没有其他任何的可疑进程。 云服务器有报错一些漏洞的咨询,正好有个高危漏洞是nginx的 。 就试着查询了一下nginx的漏洞信息, 确实是存在这个现象。 就把nginx升级到1.20.2版本...
Nginx启动停止总结
mylvguang的博客
01-28 843
根据配置停止命令:nginx -c xxx.conf -s stop //关闭对应线程的nginx。根据配置启动命令: nginx -c xxx.conf //根据不同配置启动ngxin。启动命令: start nginx //默认的nginx.conf配置。Nginx使用不同的配置文件启动会启动多个进程。重新加载命令: nginx -s reload。停止命令:nginx -s stop。检查配置命令:nginx -t。
NGINX启动停止与各种常见问题
mrleeapple的专栏
05-28 747
NGINX的配置文件通常是../xx/conf/nginx.conf,在里面做后端服务器IP或者网关IP的代理,加载前端页面的同时,获取后端数据。查看启动日志,可能会发现是对应的启动要生成的文件对应的文件夹内,本用户没权限操作。那么就需要登录正常被授权的账号,或者登录root账号,给自己之前登录的账号授权。Linux系统下每个文件的权限都是三位数,最低000,最高777。NGINX的启动文件在../xx/sbin/nginx。2、NGINX的启动文件权限够,但是依然启动失败。第一位数字:本用户的文件权限。
nginx服务挂了怎么解决?
litang140513的博客
08-08 534
ps -ef|grep nginx/usr/local/nginx/sbin./nginx -s reload
keepalived 解决入口机器(Nginx)挂掉的问题
日有寸进
10-22 3433
keepalived 解决最前端 Nginx 挂掉的问题问题来源LVS 解决思路keepalived 配置 LVS 过程主机配置从机配置检验 keepalived 的 LVS 效果keepalived 监控 Nginx主机配置从机配置充分利用从机 问题来源 我们有很多 Tomcat服务器交由 Nginx 管理,可 Nginx 所在的这台机器挂了怎么办? 你可能会想到再来 2 台 Nginx 机器...
Nginx进程挂起时,如何进行故障排除?
长风破浪会有时的博客
05-31 521
有的问题可能只需要我们稍微调整一下配置,就像是小机器人的某个零件位置不对,我们只需要把它挪到正确的位置就可以了。有的问题可能需要我们更新或者修复一些东西,就像是小机器人的某个部件坏了,我们需要找个新的来替换。你可以把进程想象成一个正在工作的小机器人,挂起就是这个小机器人由于某些原因暂时停止工作了,但是它并没有完全关机,只是暂停了一下。我们可以通过查看这个记录本,来找出小机器人挂起的原因。总的来说,当Nginx进程挂起时,我们要先检查它是否在运行,然后查看日志文件找出问题,尝试解决问题,并测试是否恢复正常。
谷歌邮箱注册源码
最新发布
03-09
为了实现Google Gmail注册功能,通常不会直接提供完整的源代码示例来创建Gmail账户。这是因为用户账户管理涉及敏感操作,应由官方服务处理以确保安全性和合规性。 然而,在开发与Gmail交互的应用程序时,可以利用OAuth 2.0协议授权流程来进行身份验证和访问控制[^3]。这允许第三方应用请求特定权限范围内的数据访问而无需知晓用户的密码。 对于希望集成Google登录或与其他Google服务互动的应用开发者来说,建议按照官方指南设置项目并启用必要的API接口: - 创建新的Google应用程序需前往Google API Console页面[^1]。 ```python import os from google_auth_oauthlib.flow import InstalledAppFlow from googleapiclient.discovery import build SCOPES = ['https://www.googleapis.com/auth/gmail.readonly'] def main(): """Shows basic usage of the Gmail API. Lists the user's Gmail labels. """ creds = None flow = InstalledAppFlow.from_client_secrets_file( 'credentials.json', SCOPES) creds = flow.run_local_server(port=0) service = build('gmail', 'v1', credentials=creds) results = service.users().labels().list(userId='me').execute() labels = results.get('labels', []) if not labels: print('No labels found.') else: print('Labels:') for label in labels: print(label['name']) if __name__ == '__main__': main() ``` 此Python脚本展示了如何通过OAuth 2.0认证过程连接到Gmail API,并列出当前用户的标签列表作为简单演示。请注意,实际部署前还需要考虑更多细节配置以及错误处理机制等问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值