服务器中挖矿木马病毒如何解决(kswapd0进程使cpu爆满)

现象:系统cpu持续使用过高,造成无法远程连接

服务器中挖矿木马病毒如何解决(kswapd0进程使cpu爆满)

分析过程:一开始机器不能远程登录,但又能够ping通,登录信息也没有修改过,判断可能远程登录服务故障,后登录机器top发现,cpu使用率百分百,这很不正常,上面只运行了一个网站与数据库,发现异常进程kswapd0,查找资料后发现其是挖矿程序

解决方案:排查kswapd0进程 top

执行命令 netstat -antlp | grep kswapd0 查询该进程的网络信息

ps -ef | grep kswapd0 查看进程的工作空间

切换到木马程序目录并删除 rm -rf

查看并清理定时任务 crontab -e

删除可疑多余的用户 vi /etc/passwd

防火墙开放端口设置 firewall-cmd –zone=public –list-ports

增强密码复杂性 passwd

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/6364

(0)
胖大海的头像胖大海
上一篇 2022年12月13日 下午2:11
下一篇 2022年12月13日 下午3:12

相关推荐

  • DM工作笔记-DATEADD(指定日期添加n个时间段)函数和其他时间函数

    达梦官方文档已经说得很清楚了,在此仅记录下笔记,方便以后进行查阅。 DATEADD对应的相关文档如下: 这里说明下CREATE_TIME是TIMESTAMP类型。 如下例子: 运行截图如下: 现在有个需求,让CREATE_TIME添加,2秒,2分钟,2小时,2年。 对应的SQL如下: 运行截图如下: 如果再有这样的一个需求,离现在(当前时刻)2小时外的数据是…

    2023年12月27日
    14900
  • 迁移到新服务器上的PHP网站,使用浏览器访问时提示“不支持MySQL”等信息,如何处理?

    问题描述 PHP网站(该网站需使用PHP执行程序代码)迁移到新服务器后,在使用浏览器访问时提示如下任意一种信息。 问题原因 因为MySQL扩展功能自PHP 5.5.0版本开始被废弃,并且从PHP 7.0.0版本开始被移除,当网站迁移到新服务器时一般会迁移到PHP 7.0.0及以上版本,由于网站迁移后的新服务器的PHP版本过高,网站程序无法再连接MySQL,导…

    2023年11月17日
    12900
  • Testdisk 取消删除FAT文件

    此恢复示例将指导您逐步使用TestDisk从 FAT (FAT12/FAT16/FAT32) 和 VFAT 文件系统中恢复删除的文件。FAT 主要用于数码相机的存储卡和 USB 闪存盘。VFAT 主要存在于 Windows 下格式化的外部硬盘上。可以恢复已删除的文件。当文件被删除时,文件名被标记为已删除,数据区域被标记为未分配/空闲,但 TestDisk 可…

    2024年1月5日
    14900
  • Prometheus监控Linux

    Linux 客户端安装docker  创建node-exporter 启动docker 浏览器验证 http://ip:9100/metrics  prometheus节点操作 配置prometheeus/prometheus.yaml CPU采集node_cpu_seconds_totalnode_cpu_seconds_total{ instance=&…

    2024年1月4日
    12200
  • cobbler搭建

    什么是cobbler Cobbler是一个Linux系统安装的服务,可以通过网络启动(PXE)的方式来快速安装、重装物理服务器和虚拟机,同时还可以管理DHCP,DNS等。 Cobbler可以使用命令行方式管理,也提供了基于Web的界面管理工具(cobbler-web),还提供了API接口,可以方便二次开发使用。 Cobbler是较早前的kickstart的升…

    2022年11月26日
    37100

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信