技术解析

Linux 服务器 cpu ni 占用率很高,被入侵过应该如何排查问题
0
2021-06-23 12:36:20
idczone

详情: 服务器被黑过,cpu 的 ni 占用率很高,loadaverage 也很高,应该如何排查有问题的进程。 系统: 4 核 8G CentOS Linux release 7.2.1511 (Core)

top 命令结果
top - 16:46:40 up 4 days, 23:38,  2 users,  load average: 4.35, 4.30, 4.31
Tasks: 146 total,   2 running, 144 sleeping,   0 stopped,   0 zombie
%Cpu(s):  0.1 us,  0.0 sy, 99.9 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem :  8010524 total,  4296640 free,  1017188 used,  2696696 buff/cache
KiB Swap:  1048572 total,  1039052 free,     9520 used.  5176172 avail Mem 

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                                                                          
30060 root      20   0 5259924 141036  18488 S   0.7  1.8   0:22.02 node                                                                                             
  975 root      20   0  114452   3408    992 S   0.3  0.0   1:04.21 hosteye                                                                                          
 2952 root      20   0 1293876  12520   1056 S   0.3  0.2  22:46.92 redis-server                                                                                     
30055 root      20   0 5259916 162624  18572 S   0.3  2.0   1:17.48 node                                                                                             
31983 root      20   0  148220   2088   1468 R   0.3  0.0   0:00.91 top                                                                                              
    1 root      20   0  127320   3232   1848 S   0.0  0.0   0:08.40 systemd                                                                                          
    2 root      20   0       0      0      0 S   0.0  0.0   0:00.00 kthreadd                                                                                         
    3 root      20   0       0      0      0 S   0.0  0.0   0:00.58 ksoftirqd/0                                                                                      
    5 root      20   0       0      0      0 S   0.0  0.0   0:00.00 kworker/0:0H                                                                                     
    7 root      rt   0       0      0      0 S   0.0  0.0   0:00.08 migration/0                                                                                      
    8 root      20   0       0      0      0 S   0.0  0.0   0:00.00 rcu_bh                                                                                           
    9 root      20   0       0      0      0 R   0.0  0.0   2:09.62 rcu_sched                                                                                        
   10 root      rt   0       0      0      0 S   0.0  0.0   0:02.64 watchdog/0                                                                                       
   11 root      rt   0       0      0      0 S   0.0  0.0   0:02.12 watchdog/1  


ni 很高,top 又看不出异常
那不先看看是不是 top 和 ps 被替换了?

鸟哥私房菜 里面有专

简单暴力的方法:备份重要数据,直接装系统。生产环境集群模式下推进。独立服务器的话,就需要排查命令是否被替换,看看端口的连接情况,和自己的备份版本做文件比对或者 MD5 对比。

被黑过,在没有牛逼运维的情况下,必须重做系统。

这是,被人拉出来挖矿了?
一般来说没救了,直接重装系统吧。

入侵的漏洞不修复 装系统也没用。

开 ssh,让我上去看看

被黑过还折腾啥?核心系统文件说不定都被替换了个爽,格盘重装啦。

检查一下 LD_PRELOAD
https://sysdig.com/blog/hiding-linux-processes-for-fun-and-profit/

你既然问了问题,说明你没有 handle 这个问题的能力和知识
所以解决方案是唯一的:重装系统

数据地带为您的网站提供全球顶级IDC资源
在线咨询
专属客服