htop命令 存在kthreaddk和rcu_bj进程,cpu飙高 占用一般cpu或者70-80%
1、检查定时任务 查看是否有
# crontab -l
检查root账号是否有异常定时任务 有的话crontab -e 修改定时任务保存
并检查所有的用户有没有定时任务( 注:我的是gitlab git账户被入侵)异常进程直接删除
crontab -u git -l 查看git账号是否有异常定时任务
如有恶意定时任务 删除
# ls -l /proc/pid 查看进程 文件
#crontab -r 清空定时任务
2、删除相关植入的恶意文件
文件中/usr/lib/sys 恶意文件 直接清空文件数据
脚本 执行先杀进程 再清空日志 后回收内存 基本可以清掉数据
也可按情况重启
#重启 reboot -h now
#!/bin/bash #杀掉rcu_bj所有相关进程 killall -9 rcu_bj cd /usr/lib/sys #清空日志 cat /dev/null > rcu_bj cat /dev/null >rcu_libk cat /dev/null >rcu_udev cat /dev/null > systemd #查看内存 free -m #回收内存 echo 1 > /proc/sys/vm/drop_caches echo 2 > /proc/sys/vm/drop_caches echo 3 > /proc/sys/vm/drop_caches #回收后的内存 free -m
处理rcu_bj挖矿病毒基本可以解决
kthreaddk 挖矿病毒处理 可能是因为gitlab低版本的漏洞导致的
明确是git账号一直跑资源 处理如下:
1、关掉所有gitlab服务
关掉所有gitlab-runsvdir 服务
# systemctl stop gitlab-runsvdir
2、查看gitlab安装目录
进入安装目录/var/opt/gitlab/gitlab-workhorse
如果里面有很多文件全部删除 只保留以下几个文件 不放心可以先备份
3、杀掉所有kthreaddk的进程
killall -9 kthreaddk
4、关闭gitlab外网映射端口
建议gitlab外网映射端口不开放 很容易被攻击
5、重启gitlab
重新启动服务
#systemctl restart gitlab-runsvdir.service重启gitlab
#gitlab-ctl restart
6、htop观察cpu运行情况 发现一段时间后趋于稳定 不在飙升 问题解决