记录技术收获,分享个人心得

人生如负重远行,不可急于求成

Linux挖矿进程占满CPU100% TOP无法查看的解决思路

    今天我在处理一台服务器时候发现的奇怪现象从zabbix监控来看,服务器cpu是到了100%的,但是进入服务器内部检查top占用却发现只有us达到100%,按照shift+P使用cpu占用率排序,却没有进程占用很高。经过排查发现是挖矿隐藏进程nfstruncate引起的。

《Linux挖矿进程占满CPU100% TOP无法查看的解决思路》 

排查流程以及思路:

1、使用命令ps -aux –sort=-pcpu|head -10 查找,查询所有进程中cpu使用率前十的排序。

  《Linux挖矿进程占满CPU100% TOP无法查看的解决思路》

排查后发现了异常进程[events],PID为1013

2、检查进程路径ll /proc/1013/

《Linux挖矿进程占满CPU100% TOP无法查看的解决思路》 

查看到进程路径,记录下,

3、kill -9 1013杀死进程,结束进程后再观察发现cpu已经降下来了

《Linux挖矿进程占满CPU100% TOP无法查看的解决思路》 

4、查看计划任务cat /etc/crontab 发现有异常的计划任务

《Linux挖矿进程占满CPU100% TOP无法查看的解决思路》 

5、删除该计划任务文件,发现这个文件被加了锁,可用chattr -i去除,再执行rm -rf

《Linux挖矿进程占满CPU100% TOP无法查看的解决思路》 

类似的处理流程删除nfstruncate,也是需要先解锁后再删除

《Linux挖矿进程占满CPU100% TOP无法查看的解决思路》

6、清除rc*.d文件下的文件链接,分别为rc0.d-rc6.d文件中的S01nfstruncate文件

《Linux挖矿进程占满CPU100% TOP无法查看的解决思路》 

《Linux挖矿进程占满CPU100% TOP无法查看的解决思路》

批量删除

7、查阅网上相关资料发现该类型的挖矿进程会将dns修改,vi /etc/resov.conf可查看到异常的dns

《Linux挖矿进程占满CPU100% TOP无法查看的解决思路》

修改为正常的dns,如119.29.29.29,180.76.76.76等。

——————-

处理中参考了文章:https://www.freebuf.com/articles/terminal/176370.html 非常全面的分析。


点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注

hi~

你好,欢迎来到我的博客,欢迎留言。

快速搜索:





Generic selectors

Exact matches only


Search in title


Search in content



Search in posts


Search in pages

欢迎关注我:

微博
steam
网易云音乐
QQ
500px

常用命令:

http://www.gaoshan.me/cmd