0


记录一次挖矿病毒kthreaddk和rcu_bj,导致CPU飙高处理

htop命令 存在kthreaddk和rcu_bj进程,cpu飙高 占用一般cpu或者70-80%

1、检查定时任务 查看是否有

crontab -l

检查root账号是否有异常定时任务 有的话crontab -e 修改定时任务保存

并检查所有的用户有没有定时任务( 注:我的是gitlab git账户被入侵)异常进程直接删除

crontab -u git -l 查看git账号是否有异常定时任务

如有恶意定时任务 删除

ls -l /proc/pid 查看进程 文件

#crontab -r 清空定时任务

2、删除相关植入的恶意文件

文件中/usr/lib/sys 恶意文件 直接清空文件数据

脚本 执行先杀进程 再清空日志 后回收内存 基本可以清掉数据

也可按情况重启

#重启 reboot -h now

#!/bin/bash
#杀掉rcu_bj所有相关进程
killall -9 rcu_bj
cd /usr/lib/sys
#清空日志
cat /dev/null > rcu_bj
cat /dev/null >rcu_libk
cat /dev/null >rcu_udev
cat /dev/null > systemd
#查看内存
free -m
#回收内存
echo 1 > /proc/sys/vm/drop_caches
echo 2 > /proc/sys/vm/drop_caches
echo 3 > /proc/sys/vm/drop_caches
#回收后的内存
free -m

处理rcu_bj挖矿病毒基本可以解决

kthreaddk 挖矿病毒处理 可能是因为gitlab低版本的漏洞导致的

明确是git账号一直跑资源 处理如下:

1、关掉所有gitlab服务

关掉所有gitlab-runsvdir 服务

systemctl stop gitlab-runsvdir

2、查看gitlab安装目录

进入安装目录/var/opt/gitlab/gitlab-workhorse

如果里面有很多文件全部删除 只保留以下几个文件 不放心可以先备份

3、杀掉所有kthreaddk的进程

killall -9 kthreaddk

4、关闭gitlab外网映射端口

建议gitlab外网映射端口不开放 很容易被攻击

5、重启gitlab

重新启动服务
#systemctl restart gitlab-runsvdir.service

重启gitlab

#gitlab-ctl restart

6、htop观察cpu运行情况 发现一段时间后趋于稳定 不在飙升 问题解决


本文转载自: https://blog.csdn.net/Mr_chenchen/article/details/129284684
版权归原作者 忆丶chen 所有, 如有侵权,请联系我们删除。

“记录一次挖矿病毒kthreaddk和rcu_bj,导致CPU飙高处理”的评论:

还没有评论