LINUX.ORG.RU
решено ФорумAdmin

systemd грузит процессор 100%

 ,


0

1

Ubuntu Server 16.04, веб-сервер, systemd грузит процессор все ядра в 100%. При этом ничего не тормозит.

Куда и как копать? Какие логи смотреть? Я нуб. (:

top - 22:03:06 up 17 min,  1 user,  load average: 5.10, 4.36, 2.94
Tasks: 174 total,   1 running, 173 sleeping,   0 stopped,   0 zombie
%Cpu(s): 92.1 us,  4.9 sy,  0.0 ni,  1.0 id,  0.4 wa,  0.0 hi,  0.9 si,  0.5 st
KiB Mem :  3079980 total,    70256 free,   620056 used,  2389668 buff/cache
KiB Swap:        0 total,        0 free,        0 used.  2278336 avail Mem 

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                
 1244 root      20   0  405156   2736   2296 S 247.1  0.1  47:07.51 systemd                                
 1592 mysql     20   0  675200  97364   6196 S  23.5  3.2   3:03.08 mysqld                                 
    1 root      20   0   37924   4972   3016 S   0.0  0.2   0:03.10 systemd                                
    2 root      20   0       0      0      0 S   0.0  0.0   0:00.01 kthreadd                               
    3 root      20   0       0      0      0 S   0.0  0.0   0:00.07 ksoftirqd/0                            
    5 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 kworker/0:0H                           
    7 root      20   0       0      0      0 S   0.0  0.0   0:01.02 rcu_sched                              
    8 root      20   0       0      0      0 S   0.0  0.0   0:00.00 rcu_bh                                 
    9 root      rt   0       0      0      0 S   0.0  0.0   0:00.03 migration/0                            
   10 root      rt   0       0      0      0 S   0.0  0.0   0:00.00 watchdog/0                             
   11 root      rt   0       0      0      0 S   0.0  0.0   0:00.00 watchdog/1                             
   12 root      rt   0       0      0      0 S   0.0  0.0   0:00.01 migration/1                            
   13 root      20   0       0      0      0 S   0.0  0.0   0:00.13 ksoftirqd/1                            
   14 root      20   0       0      0      0 S   0.0  0.0   0:00.02 kworker/1:0                            
   15 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 kworker/1:0H                           
   16 root      rt   0       0      0      0 S   0.0  0.0   0:00.00 watchdog/2                             
   17 root      rt   0       0      0      0 S   0.0  0.0   0:00.02 migration/2                            
   18 root      20   0       0      0      0 S   0.0  0.0   0:00.13 ksoftirqd/2                            
   20 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 kworker/2:0H                           
   21 root      20   0       0      0      0 S   0.0  0.0   0:00.00 kdevtmpfs                              
   22 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 netns                                  
   23 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 perf                                   
   24 root      20   0       0      0      0 S   0.0  0.0   0:00.00 khungtaskd                             
   25 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 writeback                              
   26 root      25   5       0      0      0 S   0.0  0.0   0:00.00 ksmd                                   
   27 root      39  19       0      0      0 S   0.0  0.0   0:00.19 khugepaged                             
   28 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 crypto                                 
   29 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 kintegrityd 
# ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.3  0.1  37924  5020 ?        Ss   21:45   0:03 /sbin/init
root         2  0.0  0.0      0     0 ?        S    21:45   0:00 [kthreadd]
root         3  0.0  0.0      0     0 ?        S    21:45   0:00 [ksoftirqd/0]
root         5  0.0  0.0      0     0 ?        S<   21:45   0:00 [kworker/0:0H]
root         7  0.1  0.0      0     0 ?        S    21:45   0:00 [rcu_sched]
root         8  0.0  0.0      0     0 ?        S    21:45   0:00 [rcu_bh]
root         9  0.0  0.0      0     0 ?        S    21:45   0:00 [migration/0]
root        10  0.0  0.0      0     0 ?        S    21:45   0:00 [watchdog/0]
root        11  0.0  0.0      0     0 ?        S    21:45   0:00 [watchdog/1]
root        12  0.0  0.0      0     0 ?        S    21:45   0:00 [migration/1]
root        13  0.0  0.0      0     0 ?        S    21:45   0:00 [ksoftirqd/1]
root        14  0.0  0.0      0     0 ?        S    21:45   0:00 [kworker/1:0]
root        15  0.0  0.0      0     0 ?        S<   21:45   0:00 [kworker/1:0H]
root        16  0.0  0.0      0     0 ?        S    21:45   0:00 [watchdog/2]
root        17  0.0  0.0      0     0 ?        S    21:45   0:00 [migration/2]
root        18  0.0  0.0      0     0 ?        S    21:45   0:00 [ksoftirqd/2]
root        20  0.0  0.0      0     0 ?        S<   21:45   0:00 [kworker/2:0H]
root        21  0.0  0.0      0     0 ?        S    21:45   0:00 [kdevtmpfs]
root        22  0.0  0.0      0     0 ?        S<   21:45   0:00 [netns]
root        23  0.0  0.0      0     0 ?        S<   21:45   0:00 [perf]
root        24  0.0  0.0      0     0 ?        S    21:45   0:00 [khungtaskd]
root        25  0.0  0.0      0     0 ?        S<   21:45   0:00 [writeback]
root        26  0.0  0.0      0     0 ?        SN   21:45   0:00 [ksmd]
root        27  0.0  0.0      0     0 ?        SN   21:45   0:00 [khugepaged]
root        28  0.0  0.0      0     0 ?        S<   21:45   0:00 [crypto]
root        29  0.0  0.0      0     0 ?        S<   21:45   0:00 [kintegrityd]
root        30  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root        31  0.0  0.0      0     0 ?        S<   21:45   0:00 [kblockd]
root        32  0.0  0.0      0     0 ?        S<   21:45   0:00 [ata_sff]
root        33  0.0  0.0      0     0 ?        S<   21:45   0:00 [md]
root        34  0.0  0.0      0     0 ?        S<   21:45   0:00 [devfreq_wq]
root        35  0.0  0.0      0     0 ?        S    21:45   0:00 [kworker/u6:1]
root        36  0.0  0.0      0     0 ?        S    21:45   0:00 [kworker/0:1]
root        37  0.1  0.0      0     0 ?        S    21:45   0:00 [kworker/2:1]
root        39  0.3  0.0      0     0 ?        S    21:45   0:03 [kswapd0]
root        40  0.0  0.0      0     0 ?        S<   21:45   0:00 [vmstat]
root        41  0.0  0.0      0     0 ?        S    21:45   0:00 [fsnotify_mark]
root        42  0.0  0.0      0     0 ?        S    21:45   0:00 [ecryptfs-kthrea]
root        58  0.0  0.0      0     0 ?        S<   21:45   0:00 [kthrotld]
root        59  0.0  0.0      0     0 ?        S<   21:45   0:00 [acpi_thermal_pm]
root        60  0.0  0.0      0     0 ?        S    21:45   0:00 [vballoon]
root        61  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root        62  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root        63  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root        64  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root        65  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root        66  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root        67  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root        68  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root        69  0.0  0.0      0     0 ?        S    21:45   0:00 [scsi_eh_0]
root        70  0.0  0.0      0     0 ?        S<   21:45   0:00 [scsi_tmf_0]
root        71  0.0  0.0      0     0 ?        S    21:45   0:00 [scsi_eh_1]
root        72  0.0  0.0      0     0 ?        S<   21:45   0:00 [scsi_tmf_1]
root        78  0.0  0.0      0     0 ?        S<   21:45   0:00 [ipv6_addrconf]
root        91  0.0  0.0      0     0 ?        S<   21:45   0:00 [deferwq]
root        92  0.0  0.0      0     0 ?        S<   21:45   0:00 [charger_manager]
root       134  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root       135  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root       136  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root       137  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root       138  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root       139  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root       140  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root       141  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root       142  0.0  0.0      0     0 ?        S    21:45   0:00 [scsi_eh_2]
root       143  0.0  0.0      0     0 ?        S<   21:45   0:00 [scsi_tmf_2]
root       144  0.0  0.0      0     0 ?        S<   21:45   0:00 [kpsmoused]
root       145  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root       146  0.0  0.0      0     0 ?        S    21:45   0:00 [kworker/2:2]
root       147  0.0  0.0      0     0 ?        S    21:45   0:00 [kworker/1:2]
root       501  0.0  0.0      0     0 ?        S<   21:45   0:00 [raid5wq]
root       530  0.0  0.0      0     0 ?        S<   21:45   0:00 [bioset]
root       550  0.0  0.0      0     0 ?        S    21:45   0:00 [jbd2/sda1-8]
root       551  0.0  0.0      0     0 ?        S<   21:45   0:00 [ext4-rsv-conver]
root       618  0.0  0.0      0     0 ?        S<   21:45   0:00 [kworker/1:1H]
root       628  0.0  0.1  30932  3200 ?        Ss   21:45   0:00 /lib/systemd/systemd-journald
root       636  0.0  0.0      0     0 ?        S<   21:45   0:00 [iscsi_eh]
root       641  0.0  0.0      0     0 ?        S<   21:45   0:00 [ib_addr]
root       643  0.0  0.0      0     0 ?        S<   21:45   0:00 [ib_mcast]
root       644  0.0  0.0      0     0 ?        S<   21:45   0:00 [ib_nl_sa_wq]
root       645  0.0  0.0      0     0 ?        S<   21:45   0:00 [ib_cm]
root       647  0.0  0.0      0     0 ?        S<   21:45   0:00 [iw_cm_wq]
root       648  0.0  0.0      0     0 ?        S<   21:45   0:00 [rdma_cm]
root       649  0.0  0.0      0     0 ?        S    21:45   0:00 [kauditd]
root       653  0.0  0.0      0     0 ?        S    21:45   0:00 [kworker/0:2]
root       665  0.0  0.0  94772  1100 ?        Ss   21:45   0:00 /sbin/lvmetad -f
root       700  0.0  0.1  42516  3392 ?        Ss   21:45   0:00 /lib/systemd/systemd-udevd
systemd+   763  0.0  0.0 100324  2436 ?        Ssl  21:46   0:00 /lib/systemd/systemd-timesyncd
root       956  0.0  0.0      0     0 ?        S<   21:46   0:00 [kworker/2:1H]
root      1094  0.0  0.0      0     0 ?        S<   21:46   0:00 [kworker/0:1H]
root      1095  0.0  0.0  16124   860 ?        Ss   21:46   0:00 /sbin/dhclient -1 -v -pf /run/dhclient.ens
root      1231  0.0  0.0   4396  1308 ?        Ss   21:46   0:00 /usr/sbin/acpid
syslog    1234  0.0  0.1 260628  3236 ?        Ssl  21:46   0:00 /usr/sbin/rsyslogd -n
root      1242  0.1  0.7  52216 21660 ?        S    21:46   0:01 httpd -f fdkhgmsf
root      1243  0.0  0.0   4348   724 ?        S    21:46   0:00 mysqld
root      1244  277  0.0 405156  2740 ?        Sl   21:46  43:48 systemd
root      1245  0.0  0.0   4348   724 ?        S    21:46   0:00 sh
root      1248  0.0  0.1 274488  4504 ?        Ssl  21:46   0:00 /usr/lib/accountsservice/accounts-daemon
root      1254  0.0  0.0  95368  1520 ?        Ssl  21:46   0:00 /usr/bin/lxcfs /var/lib/lxcfs/
daemon    1256  0.0  0.0  26044  1816 ?        Ss   21:46   0:00 /usr/sbin/atd -f
root      1259  0.0  0.0  28544  2932 ?        Ss   21:46   0:00 /lib/systemd/systemd-logind
message+  1261  0.0  0.1  42900  3452 ?        Ss   21:46   0:00 /usr/bin/dbus-daemon --system --address=sy
root      1279  0.0  0.0  27728  2584 ?        Ss   21:46   0:00 /usr/sbin/cron -f
root      1282  0.0  0.4 294160 13840 ?        Ssl  21:46   0:00 /usr/lib/snapd/snapd
root      1288  0.0  0.1  65512  4512 ?        Ss   21:46   0:00 /usr/sbin/sshd -D
root      1290  0.0  0.0   5220   152 ?        Ss   21:46   0:00 /sbin/iscsid
root      1291  0.0  0.1   5720  3512 ?        S<Ls 21:46   0:00 /sbin/iscsid
root      1302  0.0  0.1 277180  4512 ?        Ssl  21:46   0:00 /usr/lib/policykit-1/polkitd --no-debug
root      1305  0.0  0.0  13372   144 ?        Ss   21:46   0:00 /sbin/mdadm --monitor --pid-file /run/mdad
root      1373  0.0  0.0  19600   260 ?        Ss   21:46   0:00 /usr/sbin/irqbalance --pid=/var/run/irqbal
root      1406  0.0  0.0  14472  1988 ttyS0    Ss+  21:46   0:00 /sbin/agetty --keep-baud 115200 38400 9600
root      1407  0.0  0.0  14656  1560 tty1     Ss+  21:46   0:00 /sbin/agetty --noclear tty1 linux
root      1433  0.0  0.0  19888  2288 ?        S    21:46   0:00 /bin/bash /usr/bin/mysqld_safe
mysql     1592 16.7  3.1 674416 98488 ?        Sl   21:46   2:38 /usr/sbin/mysqld --basedir=/usr --datadir=
root      1593  0.0  0.0  24808  1324 ?        S    21:46   0:00 logger -t mysqld -p daemon error
root      1595  0.0  0.5 409204 16052 ?        Ss   21:46   0:00 /usr/sbin/apache2 -k start
www-data  1705  0.0  0.5 410084 18016 ?        S    21:46   0:00 /usr/sbin/apache2 -k start
www-data  1707  0.0  0.5 410104 17960 ?        S    21:46   0:00 /usr/sbin/apache2 -k start
root      1716  0.0  0.1  92832  4244 ?        Ss   21:46   0:00 sshd: root@pts/0
root      1721  0.0  0.0  36832  2932 ?        Ss   21:46   0:00 /lib/systemd/systemd --user
root      1724  0.0  0.0  61376  2068 ?        S    21:46   0:00 (sd-pam)
root      1784  0.0  0.1  21316  4788 pts/0    Ss   21:46   0:00 -bash
www-data  1806  0.0  0.5 410000 17844 ?        S    21:48   0:00 /usr/sbin/apache2 -k start
www-data  1807  0.0  0.5 410096 18136 ?        S    21:50   0:00 /usr/sbin/apache2 -k start
www-data  1808  0.0  0.5 410128 18324 ?        S    21:50   0:00 /usr/sbin/apache2 -k start
www-data  1811  0.0  0.5 410108 18140 ?        S    21:51   0:00 /usr/sbin/apache2 -k start
www-data  1812  0.0  0.5 410080 18204 ?        S    21:51   0:00 /usr/sbin/apache2 -k start
root      1813  0.0  0.0      0     0 ?        S    21:51   0:00 [kworker/u6:0]
www-data  1821  0.0  0.5 410136 18228 ?        S    21:53   0:00 /usr/sbin/apache2 -k start
www-data  1822  0.0  0.5 410060 17812 ?        S    21:53   0:00 /usr/sbin/apache2 -k start
www-data  1823  0.0  0.5 410080 18044 ?        S    21:53   0:00 /usr/sbin/apache2 -k start
www-data  2122  0.0  0.5 410060 18096 ?        S    21:54   0:00 /usr/sbin/apache2 -k start
www-data  2126  0.0  0.5 409852 16320 ?        S    21:55   0:00 /usr/sbin/apache2 -k start
www-data  2129  0.0  0.5 409968 17596 ?        S    21:56   0:00 /usr/sbin/apache2 -k start
www-data  2130  0.0  0.5 409956 17604 ?        S    21:56   0:00 /usr/sbin/apache2 -k start
www-data  2132  0.0  0.5 410132 18228 ?        S    21:56   0:00 /usr/sbin/apache2 -k start
www-data  2135  0.0  0.5 409924 17200 ?        S    21:56   0:00 /usr/sbin/apache2 -k start
www-data  2136  0.0  0.5 409952 17580 ?        S    21:56   0:00 /usr/sbin/apache2 -k start
www-data  2137  0.0  0.5 409952 17588 ?        S    21:56   0:00 /usr/sbin/apache2 -k start
www-data  2138  0.0  0.5 409984 17584 ?        S    21:56   0:00 /usr/sbin/apache2 -k start
www-data  2149  0.0  0.5 409840 16880 ?        S    21:58   0:00 /usr/sbin/apache2 -k start
www-data  2150  0.0  0.5 409984 17596 ?        S    21:58   0:00 /usr/sbin/apache2 -k start
www-data  2151  0.0  0.5 409836 16856 ?        S    21:58   0:00 /usr/sbin/apache2 -k start
www-data  2156  0.0  0.5 409836 16840 ?        S    21:58   0:00 /usr/sbin/apache2 -k start
www-data  2157  0.0  0.5 409956 17608 ?        S    21:58   0:00 /usr/sbin/apache2 -k start
www-data  2158  0.0  0.5 409956 17560 ?        S    21:58   0:00 /usr/sbin/apache2 -k start
www-data  2162  0.0  0.5 409840 16872 ?        S    21:58   0:00 /usr/sbin/apache2 -k start
www-data  2164  0.0  0.5 409952 17608 ?        S    21:58   0:00 /usr/sbin/apache2 -k start
www-data  2165  0.0  0.5 409968 17532 ?        S    21:58   0:00 /usr/sbin/apache2 -k start
www-data  2166  0.0  0.5 409840 16892 ?        S    21:58   0:00 /usr/sbin/apache2 -k start
www-data  2168  0.0  0.5 409952 17540 ?        S    21:58   0:00 /usr/sbin/apache2 -k start
www-data  2169  0.0  0.5 409836 16844 ?        S    21:58   0:00 /usr/sbin/apache2 -k start
www-data  2171  0.0  0.5 409840 16892 ?        S    21:59   0:00 /usr/sbin/apache2 -k start
www-data  2175  0.0  0.5 409840 16888 ?        S    21:59   0:00 /usr/sbin/apache2 -k start
www-data  2176  0.0  0.5 409836 16840 ?        S    21:59   0:00 /usr/sbin/apache2 -k start
www-data  2179  0.0  0.5 409952 17544 ?        S    21:59   0:00 /usr/sbin/apache2 -k start
www-data  2180  0.0  0.5 409952 17028 ?        S    21:59   0:00 /usr/sbin/apache2 -k start
www-data  2182  0.0  0.5 409980 17580 ?        S    21:59   0:00 /usr/sbin/apache2 -k start
root      2204  0.1  0.0      0     0 ?        S    22:00   0:00 [kworker/2:0]
www-data  2205  0.0  0.5 409836 16844 ?        S    22:01   0:00 /usr/sbin/apache2 -k start
www-data  2208  0.0  0.5 409952 17032 ?        S    22:01   0:00 /usr/sbin/apache2 -k start
www-data  2209  0.0  0.5 409840 16840 ?        S    22:01   0:00 /usr/sbin/apache2 -k start
www-data  2211  0.0  0.5 409956 17536 ?        S    22:01   0:00 /usr/sbin/apache2 -k start
www-data  2213  0.0  0.3 409432 11544 ?        S    22:01   0:00 /usr/sbin/apache2 -k start
www-data  2215  0.0  0.3 409236  9832 ?        S    22:01   0:00 /usr/sbin/apache2 -k start
www-data  2217  0.1  0.5 409884 16544 ?        S    22:01   0:00 /usr/sbin/apache2 -k start
www-data  2218  0.2  0.5 409852 16888 ?        S    22:01   0:00 /usr/sbin/apache2 -k start
www-data  2220  0.0  0.3 409236  9832 ?        S    22:01   0:00 /usr/sbin/apache2 -k start
www-data  2221  0.0  0.3 409236  9832 ?        S    22:01   0:00 /usr/sbin/apache2 -k start
www-data  2222  0.0  0.3 409236  9832 ?        S    22:01   0:00 /usr/sbin/apache2 -k start
root      2223  0.0  0.1  36084  3248 pts/0    R+   22:01   0:00 ps aux
Deleted

Кто то ищет что бы не тормозило , а тебе наоборот надо , ты с этого мира ? В этом и прикол что лучше перфомансе чем тормозансе гпу. Дайте ему кто нибудь жируху дистр с накладками в скорости

anonymous ()

А вот был бы продуманный и понятный всем System V мы бы немедленно разобрали что к чему. Вот он весь леденящий кровь ужас комбайн пожинающий души неверующих в unix-way!

anonymous ()

Ооо! Вот я валенок! (:

# readlink -f /proc/1244/exe
/root/.Deg/systemd

~/.Deg# ls -lh
total 6.7M
-rwxr-xr-x 1 root root 6.7K Jul 31  2018 bash
-rw-r--r-- 1 root root  22K Feb  3 00:12 bgjdb
-rw-r--r-- 1 root root 1006 Dec  8 15:26 config.json
drwx------ 2 root root 4.0K Feb  3 00:02 Data
-rw-r--r-- 1 root root   81 Oct 16 19:19 fdkhgmsf
-rwxr-xr-x 1 root root 1.9M May 28  2018 httpd
-rw-r--r-- 1 root root 2.0M May 28  2018 libcrypto.so.1.0.0
-rw-r--r-- 1 root root 287K May 28  2018 libevent-2.0.so.5
-rw-r--r-- 1 root root  91K May 28  2018 libseccomp.so.2
-rw-r--r-- 1 root root 386K May 28  2018 libssl.so.1.0.0
-rw-r--r-- 1 root root 107K May 28  2018 libz.so.1
-rwxr-xr-x 1 root root 6.7K Dec  8 15:26 mysqld
-rw-r--r-- 1 root root 1.1K Feb  2 21:46 sdgjk
-rwxr-xr-x 1 root root 8.7K Dec  8 15:26 sh
-rwxr-xr-x 1 root root 2.0M Oct 16 17:31 systemd

# kill -9 1244
# chmod -x /root/.Deg/*

Что теперь с этим делать? Что это такое? Откуда взялось?

Deleted ()
Ответ на: комментарий от Deleted

говнецо прокралось в систему.
как и уже писалось чуть ранее - активны процесс пристрелить не системд енто точно
# kill -9 1244
файлик удалить (предварительно скорми вирустоталу - мож чего разыщет в нем, ну и можешь запаковать и выложить позырить).
на систему натравить антивирус руткитхантер и т.д.

pfg ★★★ ()
Ответ на: комментарий от Deleted

Ну блин. А я хотел холодным зимним вечерком, сидя у теплого камина и попивая чаек, дизассемблировать эту пакость и посмотреть что она делает.

Как заразился-то можешь сказать?

EXL ★★★★★ ()
Ответ на: комментарий от Deleted

Если бы тс не удалил, то можно было бы сказать точно. А сейчас уже анализировать нечего. Разве что опять подцепит. Но, по опыту майнинга (на том, с чем имел дело) разница есть, точнее была. И как-то это должно было попасть в /root. Заговор спецслужб я оставил на потом. Сначала спросил про самое очевидное.

imul ★★★★★ ()
Ответ на: комментарий от Deleted

Не факт, что в этих файлах будет след эксплойта.

Не думаю, что он там вообще был. Скорее всего просто подошел пароль к ssh.

Скорее всего обычный майнер, исследовать который нет смысла.

Легко пропустить что-нибудь интересное, поэтому я стараюсь пользоваться возможностью исследовать что-либо из дикой среды.

Deleted ()
Ответ на: комментарий от Deleted

Что теперь с этим делать? Что это такое?

# kill -9 1244

это надо выполнить в терминале из под su, если это настоящий systemd система рухнет, а если майнер система устоит и потребление cpu придет в норму

amd_amd ★★★ ()
Последнее исправление: amd_amd (всего исправлений: 1)
Ответ на: комментарий от EXL

Если ещё актуально «хотел посмотреть» и «как заразился».

Вчера поймал kdevtmpfsi в «дикой природе» - есть архив бинарей, если интересно могу предоставить.

Как заразились:

  • белый IPv4 в Инете + redis Protected-Mode no :-)
  • через примерно 1 (одни) сутки от поднятия.
anonymous ()
Ответ на: комментарий от anonymous

Сложноватый способ «добавить майнера» на собственный сервер. :-)

root      1741  0.0  0.1 109108  8536 ?        Sl   02:08   0:00  \_ containerd-shim -namespace bla-bla -workdir /var/lib/containerd/io.containerd.runtime.v1.linux/bla-bla/f9edb9ba12520619e71ff
systemd+  1840  0.2  0.1  40708 11664 ?        Ssl  02:08   0:55  |   \_ redis-server *:6379
systemd+  4250  0.0  0.7 120208 61828 ?        Sl   02:14   0:06  |       \_ ./kinsing6SM1Em6ioi
systemd+  4488  580 29.4 3025300 2407020 ?     Ssl  02:15 2132:59  |       \_ /tmp/kdevtmpfsi
anonymous ()

Как искать подтверждение что это «оно» = kdevtmpfsi

sudo htop - увидеть загрузку CPU по всем доступным ядрам на 100% и load average больше чем количество ядер. Записать ‘process id’ лидеров.

В моём лучае было в постоянных лидерах 6 процессов /tmp/kdevtmpfsi от пользователя systemd+. Но ‘systemd’ не запускает файлов из ‘/tmp’…

sudo top - показывает лидером процесс kdevtmpfsi от пользователя systemd+.

sudo ps -auxf - посмотреть в дереве процессов кто породил «пожирателя» (это ожидаемый родитель?). Тут я увидел ‘redis’ и ‘контейнер’.

sudo find / -name kdevtmpfsi и sudo find / -name 'kinsing*' - найти на файловой системе место, где располагаются файлы «врага».

ls -la --time-style=full-iso /tmp - по датам создания файлов в найденных каталогах можно примерно понять время атаки. Это сильно условно, так как атрибуты файлов можно было и поменять.

Люди пишут, что запуск прописывает в crontab. У меня - не нашелся.

sudo grep CRON /var/log/syslog - должны увидеть периодический запуск странного.

for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done - посмотреть в расписания заданий пользователей, может прятаться у пользователя ‘www-data’ или других.

Полезные ссылки:

https://r.virscan.org/language/en/report/07256aabf45b690a8a3989d0efa38e18

https://github.com/docker-library/redis/issues/217

Гугль в помощь.

И совет: скопрометированный хост надо переставлять, а не пытаться «чистить»!

anonymous ()