关于kswapd0 CPU占用率高的问题
很多天前就发现自己的腾讯云服务器一直有个进程CPU占用率很高
上网查了很多教程都说是因为内存占用较高导致系统自动调用kswapd0进程来搬运内存数据到虚拟内存,导致CPU占用率极高,由于我服务器内存只有2G,所以一直认为是此原因导致,但最近服务器越来越卡,于是乎还是下决心找出原因优化一下
使用netstat -antlp查看系统外部链接时,发现有两个荷兰IP,其中一个正是kswapd0
然后发现还有一个rsync进程也在连接某荷兰IP,查询后得知rsync是一个数据传输工具,到这里我基本上可以确定系统已经被装了木马程序,所以开始查找木马程序在哪里
进入.X25-unix文件夹后,可以看到有一个名为dota3的压缩包(看样子这个黑客还是个dota迷)
我把这个压缩包传到我本地电脑准备一会研究一下,然后将整个文件夹删除
再查看一下外部网络连接,发现这两个连接进程依然存在
接下来杀死这两个进程,之后再查看,确实进程已经不存在了,等十分钟后再次查看,确认进程没有重启
查看一下资源占用情况,即使内存所剩不多,CPU占用率也没有那么高了
把那个dota3的文件在windows下解压后,查看目录结构发现真的是简单粗暴,具体程序不知道是用什么写的,可能是C吧,手头也没有反编译软件,有兴趣的朋友可以私聊我,我把这个压缩包发给你研究研究。


————————————————
版权声明:本文为CSDN博主「jzz601264258」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/jzz601264258/article/details/105850816
补充:
2.解决问题
百度搜索后得出结论,这是一个挖矿病毒 sysupdate
2.1定位病毒
1.使用top命令得出进程号(PID)
2.使用命令ls -l proc/{进程号}/exe得出文件位置
2.2清除病毒
1.使用 rm 命令直接删除,会发现提示无法删除,应该是使用了chattr命令将文件锁定了使用命令: chattr -i {文件名} 即可正常删除
2.在/etc/目录下还发现一个守护进程文件 /etc/update.sh 也一并删除了
3.检查是否还有免密登录的后门文件 /root/.ssh/authorized_keys 也一并删除
4.检查定时任务 crontab -l 将可疑任务清除
5.cat /etc/rc.local 检查是否有异常自启服务:
最后将服务器重启,检查是否还有异常
