详情: 服务器被黑过,cpu 的 ni 占用率很高,loadaverage 也很高,应该如何排查有问题的进程。 系统: 4 核 8G CentOS Linux release 7.2.1511 (Core)
top 命令结果
top - 16:46:40 up 4 days, 23:38, 2 users, load average: 4.35, 4.30, 4.31
Tasks: 146 total, 2 running, 144 sleeping, 0 stopped, 0 zombie
%Cpu(s): 0.1 us, 0.0 sy, 99.9 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 8010524 total, 4296640 free, 1017188 used, 2696696 buff/cache
KiB Swap: 1048572 total, 1039052 free, 9520 used. 5176172 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
30060 root 20 0 5259924 141036 18488 S 0.7 1.8 0:22.02 node
975 root 20 0 114452 3408 992 S 0.3 0.0 1:04.21 hosteye
2952 root 20 0 1293876 12520 1056 S 0.3 0.2 22:46.92 redis-server
30055 root 20 0 5259916 162624 18572 S 0.3 2.0 1:17.48 node
31983 root 20 0 148220 2088 1468 R 0.3 0.0 0:00.91 top
1 root 20 0 127320 3232 1848 S 0.0 0.0 0:08.40 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd
3 root 20 0 0 0 0 S 0.0 0.0 0:00.58 ksoftirqd/0
5 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kworker/0:0H
7 root rt 0 0 0 0 S 0.0 0.0 0:00.08 migration/0
8 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcu_bh
9 root 20 0 0 0 0 R 0.0 0.0 2:09.62 rcu_sched
10 root rt 0 0 0 0 S 0.0 0.0 0:02.64 watchdog/0
11 root rt 0 0 0 0 S 0.0 0.0 0:02.12 watchdog/1
#sysdig -c topprocs_cpu
CPU% Process PID
--------------------------------------------------------------------------------
99.70% <NA> 719
99.70% <NA> 725
98.70% <NA> 724
98.70% <NA> 722
0.00% oracle 10187
0.00% hosteye 988
0.00% V8 4374
0.00% oracle 6393
0.00% gdbus 534
0.00% <NA> 9230
直接杀了kiil -9 杀了一个进程后,服务器暂时恢复正常
Tasks: 155 total, 2 running, 153 sleeping, 0 stopped, 0 zombie
%Cpu(s): 0.7 us, 0.2 sy, 0.0 ni, 98.8 id, 0.2 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 8010524 total, 2815372 free, 1208116 used, 3987036 buff/cache
KiB Swap: 1048572 total, 1039200 free, 9372 used. 4960176 avail Mem
1
skylancer 2018-05-21 17:25:05 +08:00
ni 很高,top 又看不出异常
那不先看看是不是 top 和 ps 被替换了? |
2
jssyxzy 2018-05-21 17:31:15 +08:00
鸟哥私房菜 里面有专
|
3
youyoumarco 2018-05-21 17:42:32 +08:00
简单暴力的方法:备份重要数据,直接装系统。生产环境集群模式下推进。独立服务器的话,就需要排查命令是否被替换,看看端口的连接情况,和自己的备份版本做文件比对或者 MD5 对比。
|
4
realpg 2018-05-21 18:08:54 +08:00
被黑过,在没有牛逼运维的情况下,必须重做系统。
|
5
Actrace 2018-05-21 19:05:43 +08:00
这是,被人拉出来挖矿了?
一般来说没救了,直接重装系统吧。 |
6
soho176 2018-05-21 19:09:19 +08:00
入侵的漏洞不修复 装系统也没用。
|
7
defunct9 2018-05-21 21:26:26 +08:00 via iPhone
开 ssh,让我上去看看
|
8
msg7086 2018-05-22 00:27:54 +08:00
被黑过还折腾啥?核心系统文件说不定都被替换了个爽,格盘重装啦。
|
9
pony279 2018-05-22 09:12:32 +08:00 1
|
10
realpg 2018-06-17 15:33:21 +08:00
你既然问了问题,说明你没有 handle 这个问题的能力和知识
所以解决方案是唯一的:重装系统 |