Linux系統(tǒng)異常進程 minerd 導(dǎo)致CPU跑滿怎么辦
Linux 服務(wù)器 CPU 使用率超過70%����,嚴(yán)重情況達到100%�,或者使用服務(wù)器越來越慢。
問題原因
場景一:
使用 top 命令看到有一個 minerd 或 tplink 的異常進程��,占用了大量 CPU 資源���。如下圖所示:
經(jīng)定位���,相關(guān)進程是服務(wù)器被入侵后被惡意安裝的比特幣挖礦程序,一般存在 /tmp/ 目錄下�。如果使用 top 查看不到,用 ps 命令可以找到相關(guān)進程���。比如:
服務(wù)器存在這個進程�,如果不是主動開啟的���,則很可能是被入侵所致�。服務(wù)器變成了別人的礦機,用來挖萊特幣����。
場景二:
黑客通過驅(qū)動rootkit程序方式入侵主機部署隱藏挖礦程序,CPU使用率達到90-100%�����,該場景無法通過top命令和ps命令查看到運行中的進程���。
處理方法
場景一處理方式:
使用類似如下命令通過 pid 獲取對于文件的路徑
ls -l /proc/$PID/exe
參數(shù)說明:$PID 為進程對應(yīng)的 PID 號����,可以通過前述說明���,通過 ps 或者 top 獲取
2.使用 kill 命令關(guān)閉進程���。
3.刪除步驟 1 獲取的對應(yīng)的文件。
4.建議平時增強服務(wù)器的安全維護����,優(yōu)化代碼��,以避免因程序漏洞等導(dǎo)致服務(wù)器被入侵。
場景二處理方式:
由于惡意模塊程序被隱藏���,可以使用以下命令查看是否存在如下模塊:
惡意模塊:raid.ko���、iptable_mac.ko、snd_pcs.ko��、usb_pcs.ko��、ipv6_kac.ko
#file /lib/udev/usb_control/iptable_mac.ko
商品已成功加入購物車