Linux系統(tǒng)異常進(jìn)程 minerd 導(dǎo)致CPU跑滿(mǎn)怎么辦
Linux 服務(wù)器 CPU 使用率超過(guò)70%��,嚴(yán)重情況達(dá)到100%��,或者使用服務(wù)器越來(lái)越慢���。
問(wèn)題原因
場(chǎng)景一:
使用 top 命令看到有一個(gè) minerd 或 tplink 的異常進(jìn)程��,占用了大量 CPU 資源�����。如下圖所示:
經(jīng)定位�,相關(guān)進(jìn)程是服務(wù)器被入侵后被惡意安裝的比特幣挖礦程序��,一般存在 /tmp/ 目錄下。如果使用 top 查看不到��,用 ps 命令可以找到相關(guān)進(jìn)程�����。比如:
服務(wù)器存在這個(gè)進(jìn)程����,如果不是主動(dòng)開(kāi)啟的����,則很可能是被入侵所致。服務(wù)器變成了別人的礦機(jī)��,用來(lái)挖萊特幣���。
場(chǎng)景二:
黑客通過(guò)驅(qū)動(dòng)rootkit程序方式入侵主機(jī)部署隱藏挖礦程序���,CPU使用率達(dá)到90-100%,該場(chǎng)景無(wú)法通過(guò)top命令和ps命令查看到運(yùn)行中的進(jìn)程���。
處理方法
場(chǎng)景一處理方式:
使用類(lèi)似如下命令通過(guò) pid 獲取對(duì)于文件的路徑
ls -l /proc/$PID/exe
參數(shù)說(shuō)明:$PID 為進(jìn)程對(duì)應(yīng)的 PID 號(hào)�,可以通過(guò)前述說(shuō)明,通過(guò) ps 或者 top 獲取
2.使用 kill 命令關(guān)閉進(jìn)程����。
3.刪除步驟 1 獲取的對(duì)應(yīng)的文件。
4.建議平時(shí)增強(qiáng)服務(wù)器的安全維護(hù)����,優(yōu)化代碼,以避免因程序漏洞等導(dǎo)致服務(wù)器被入侵����。
場(chǎng)景二處理方式:
由于惡意模塊程序被隱藏,可以使用以下命令查看是否存在如下模塊:
惡意模塊:raid.ko���、iptable_mac.ko����、snd_pcs.ko��、usb_pcs.ko��、ipv6_kac.ko
#file /lib/udev/usb_control/iptable_mac.ko
商品已成功加入購(gòu)物車(chē)