清理服务器中的挖矿进程kswapd0 tsm
1. 发现
这几天总发现自己的mysql自动停止服务,使用TOP命令去查看,CPU居然高达200%【进程名:kswapd0】
网上一查,被挖矿了,所以记录一下自己清理挖矿进程的过程
【不知道被挖矿了多久?反正天翼云一点没提醒,他们监控做得太差了吧?】
2. top命令查看进程
【因为当时一着急,直接kill,所以TOP没记录。但是如果不删除干净,挖矿程序很快就会死灰复燃】
// 然后自己就去查kswapd0进程,然后kill, 结果发现没有kill干净。所以不要冲动
[root@maggie101 ~]# ps -ef|grep kswapd0
root 46 2 0 Oct31 ? 00:00:04 [kswapd0]
hadoop 25085 1 99 01:01 ? 17:05:33 ./kswapd0
root 26228 26193 0 09:33 pts/1 00:00:00 grep --color=auto kswapd0
正确流程如下:
3. 排查可疑进程netstat -antlp
45.9.148.117 和 45.9.148.99 都是荷兰的IP地址;因为是我暴露的数据库端口是:3306端口
[root@maggie101 .X2zz-unix]# netstat -antlp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
。。。。。。
tcp 0 1 192.168.1.245:50742 45.9.148.117:22 SYN_SENT 13595/tsm
tcp 0 1 192.168.1.245:55720 45.9.148.99:443 SYN_SENT 23858/rsync
。。。。。4. 根据可以IP所对应的PID找到挖矿程序的路径
- ls -l /proc/13595/exe 【13595】
- ls -l /proc/23858/exe
- 【13595】和【23858】是根据上面最后一列名字前面的PID进程所得
[root@maggie101 .X2zz-unix]# ls -l /proc/13595/exe
lrwxrwxrwx 1 hadoop hadoop 0 Nov 25 09:31 /proc/13595/exe -> /tmp/.X2zz-unix/.rsync/c/lib/64/tsm
[root@maggie101 .X2zz-unix]# ls -l /proc/23858/exe
lrwxrwxrwx 1 hadoop hadoop 0 Nov 24 23:22 /proc/23858/exe -> /usr/bin/perl
5. 删除挖矿木马文件
[root@maggie101 ~]# cd /tmp
[root@maggie101 tmp]# ll -atotal 32drwxrwxrwx 8 root root 4096 Nov 25 09:58 .dr-xr-xr-x. 26 root root 4096 Nov 12 10:40 ..。。。。。。drwxr-xr-x 3 hadoop hadoop 4096 Nov 21 19:49 .X2zz-unix
[root@maggie101 tmp]# rm -rf .X2zz-unix/ 【删除.X2zz-unix文件夹】
[root@maggie101 tmp]# rm -f /usr/bin/perl 【删除perl文件】
6. kill 进程
[root@maggie101 bin]# kill -9 23858
[root@maggie101 bin]# kill -9 13595
最后再次通过TOP命令、 netstat -antlp命令,确实进程已经不存在了,等十分钟后再次查看,确认进程没有重启。
清理服务器中的挖矿进程kswapd0 tsm相关推荐
- 服务器中了挖矿病毒的检测及删除方法
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作. 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢. 现将清除挖矿病 ...
- 服务器中了挖矿病毒的检测及删除方法(如dhpcd,kdevtmpfs等)
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作. 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢. 现将清除挖矿病 ...
- jenkins漏洞导致服务器中了挖矿病毒!cpu飙高351%!看我如何消灭它!
作者:SilentBillows,资深Java工程师,架构师小秘圈特约作者!欢迎大家投稿,在后台回复投稿即可! 一, 定位问题 1.发现cpu异常,查看对应的进程信息 [root@versionlib ...
- centos6.8服务器中了挖矿程序病毒的解决方法
阿里云提示我的centos服务器出现紧急安全事件:挖矿程序:同时也出现服务器异常登录事件. 出现这样的情况,需要根据以下的步骤去处理 第一步:修改登录的帐号密码,输入命令passwd,根据提未修改. ...
- 阿里云服务器中招挖矿病毒XMrig miner解决方法
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用.今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu ...
- 使用SNMP检查服务器中运行的进程信息
进程ID,Windows里进程id为0的,snmp里为1 C:\usr\bin>snmpwalk -v2c -c public localhost .1.3.6.1.2.1.25.4.2.1.1 ...
- AWS 云服务器中kdevtmpfsi挖矿病毒处理方法
从top 命令可以看出有一个名称为kdevtmpfsi 的进程占用cpu 特别高,高达780% 8核的cpu一个进程就占用这么多,而亚马逊云平台确显示实例运行状态正常,真是感到不可理解 1 先使用 p ...
- centos服务器中木马后的处理和预防
背景 自己用的一台服务器中了挖矿木马,根据清木马的经历,特意写了这篇文章,这不能算是一个权威教程,因为自己对木马的机制并没有彻底的了解,只当是一个记录和讨论的方式. 中木马的迹象 如果你的服务器出现以 ...
- GPU服务器中挖矿病毒-查杀-分析-预防
1. 确认是挖矿病毒 使用命令nvidia-smi发现GPU被root用户(也可能是普通用户)大量占用,体现形式为:显存占用率不一定为100%,但GPU使用率为100%. 使用命令 top(htop) ...
最新文章
- 一段使用cURL实现的网页抓取源码,支持POST,Cookies,代理,自定义头.
- flask + celery
- Oracle For 循环,字符串拼接,查找
- Django后台管理
- Linux mysql 登录 2002,Linux 下 Mysql error 2002 错误解决
- electron 屏幕标注_屏幕 | screen (screen) – Electron 中文开发手册
- Hadoop学习系列之PageRank
- Cocos2d-JS项目之UI界面的优化
- 信息学奥赛一本通(1204:爬楼梯)
- mysql5.5删除干净_MySql5.5 安装及卸载
- 【学习笔记】【OC语言】继承
- 关于Myeclipse自带JDK与本机安装JDK的的区别
- 飞机大战(Java)
- 【Pix4d精品教程】Pix4dmapper航测内业项目化数据处理完整流程(空三、生成点云、DOM和DSM)
- 无人驾驶(一)---汽车can总线通信之 peak pcan驱动安装与通信
- 小蝌蚪找妈妈(召唤神龙)源码
- 为季前卡牌游戏 MotoGP™ Ignition Champions 做好准备!
- Google Apps申请注册
- 国内首个开源网络流量可视化分析平台 -- 流影
- 海康威视测试实习生面试经历