这是一个创建于 2779 天前的主题,其中的信息可能已经有所发展或是发生改变。
详情: 服务器被黑过,cpu 的 ni 占用率很高,loadaverage 也很高,应该如何排查有问题的进程。 系统: 4 核 8G CentOS Linux release 7.2.1511 (Core)
top 命令结果 top - 16:46:40 up 4 days, 23:38, 2 users, load average: 4.35, 4.30, 4.31 Tasks: 146 total, 2 running, 144 sleeping, 0 stopped, 0 zombie %Cpu(s): 0.1 us, 0.0 sy, 99.9 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st KiB Mem : 8010524 total, 4296640 free, 1017188 used, 2696696 buff/cache KiB Swap: 1048572 total, 1039052 free, 9520 used. 5176172 avail Mem PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 30060 root 20 0 5259924 141036 18488 S 0.7 1.8 0:22.02 node 975 root 20 0 114452 3408 992 S 0.3 0.0 1:04.21 hosteye 2952 root 20 0 1293876 12520 1056 S 0.3 0.2 22:46.92 redis-server 30055 root 20 0 5259916 162624 18572 S 0.3 2.0 1:17.48 node 31983 root 20 0 148220 2088 1468 R 0.3 0.0 0:00.91 top 1 root 20 0 127320 3232 1848 S 0.0 0.0 0:08.40 systemd 2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd 3 root 20 0 0 0 0 S 0.0 0.0 0:00.58 ksoftirqd/0 5 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kworker/0:0H 7 root rt 0 0 0 0 S 0.0 0.0 0:00.08 migration/0 8 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcu_bh 9 root 20 0 0 0 0 R 0.0 0.0 2:09.62 rcu_sched 10 root rt 0 0 0 0 S 0.0 0.0 0:02.64 watchdog/0 11 root rt 0 0 0 0 S 0.0 0.0 0:02.12 watchdog/1 第 1 条附言 2018-05-22 16:12:00 +08:00
#sysdig -c topprocs_cpu
CPU% Process PID -------------------------------------------------------------------------------- 99.70% <NA> 719 99.70% <NA> 725 98.70% <NA> 724 98.70% <NA> 722 0.00% oracle 10187 0.00% hosteye 988 0.00% V8 4374 0.00% oracle 6393 0.00% gdbus 534 0.00% <NA> 9230 直接杀了kiil -9 杀了一个进程后,服务器暂时恢复正常
Tasks: 155 total, 2 running, 153 sleeping, 0 stopped, 0 zombie %Cpu(s): 0.7 us, 0.2 sy, 0.0 ni, 98.8 id, 0.2 wa, 0.0 hi, 0.0 si, 0.0 st KiB Mem : 8010524 total, 2815372 free, 1208116 used, 3987036 buff/cache KiB Swap: 1048572 total, 1039200 free, 9372 used. 4960176 avail Mem  | 1 skylancer 2018-05-21 17:25:05 +08:00 ni 很高,top 又看不出异常 那不先看看是不是 top 和 ps 被替换了? |
 | 2 jssyxzy 2018-05-21 17:31:15 +08:00 鸟哥私房菜 里面有专 |
 | 3 youyoumarc 2018-05-21 17:42:32 +08:00 简单暴力的方法:备份重要数据,直接装系统。生产环境集群模式下推进。独立服务器的话,就需要排查命令是否被替换,看看端口的连接情况,和自己的备份版本做文件比对或者 MD5 对比。 |
 | 4 realpg PRO 被黑过,在没有牛逼运维的情况下,必须重做系统。 |
 | 5 Actrace 2018-05-21 19:05:43 +08:00 这是,被人拉出来挖矿了? 一般来说没救了,直接重装系统吧。 |
 | 6 soho176 2018-05-21 19:09:19 +08:00 入侵的漏洞不修复 装系统也没用。 |
 | 7 defunct9 2018-05-21 21:26:26 +08:00 via iPhone 开 ssh,让我上去看看 |
 | 8 msg7086 2018-05-22 00:27:54 +08:00 被黑过还折腾啥?核心系统文件说不定都被替换了个爽,格盘重装啦。 |
 | 9 pony279 2018-05-22 09:12:32 +08:00  1 |
| 10 realpg PRO 你既然问了问题,说明你没有 handle 这个问题的能力和知识 所以解决方案是唯一的:重装系统 |
Select Language