kswapd0病毒查殺過程

2021-10-07 13:43:11 字數 886 閱讀 9862

1、伺服器負載異常高

2、使用top命令檢視到kswapd0程序是用test使用者起的

3、檢視應用連線發現有外網ip連線

4、查詢ip歸屬地,發現是荷蘭的ip

5、檢視程式的路徑,發現是在test使用者的家目錄裡

6、檢視crontab計畫任務

7、檢視/tmp目錄是否有異常檔案

結果是 /tmp目錄下有乙個指令碼test使用者的檔案

8、檢視程序,發現有個redis的程序

1、刪除所有的crontab計畫任務

crontab -e -u test
2、殺掉病毒程序

3、刪除使用者和檔案(前提是正規業務沒有用到此使用者)

userdel -r test
4、刪除/tmp目錄下test使用者的檔案

5、觀察病毒是否會再生

1、這台伺服器沒有對映過外網,只開啟了外網訪問,病毒是如何入侵的還沒弄清楚

2、redis是否是病毒啟動的,用處又是什麼

kswapd0 程序 設定 swap

kswapd0是虛擬記憶體管理中,負責換頁,說白了就是你的物理記憶體不夠用了 現在的伺服器,一般記憶體都很高,所有很少使用 swap 分割槽了 這時候考慮的兩種處理辦法 加大物理記憶體 或者 增加swap分割槽 現在的ssd讀寫很高 找出近期是訪問量還是程式的異常,適當的調整與處理 因這幾次是近期出...

kswapd0導致cpu佔比高的分析

netstat antlp發現kswapd0 指向的是乙個荷蘭ip,另外也發現rsync程序也指向乙個荷蘭ip。所以初步判定該程式屬於挖礦程式 ls ail proc pid找到exe對應的應用位址,位址包含 configrc 發現其中配置了真實檔案的位址 tmp x25 unix 經過檢視該目錄下...

linux 伺服器被掛馬 kswapd0 占用高

先 kill 掉這兩個程序。kill掉後程式占用果然下來了。檢查定時任務 果然有貓膩 修改定時任務,把病毒清理掉 crontab e最後重啟伺服器,發現果然沒有了。出現這樣的原因,有以下幾點。為了圖方便把允許 ssh 密碼登陸,同時密碼設定的過於簡單被爆破了。沒有把 ssh 埠修改掉 沒有開啟 ss...