linux - kthreaddi 非常高的 CPU

Question

我在 DigitalOcean 有一个专门的数据库，它托管了一个数据库。我注意到通过仪表板 CPU 一直处于 100%，所以我决定访问提示，我发现 [kthreaddi] 消耗了所有处理，我不知道如何解决这个问题，你的帮助非常好。

1461 www-data  20   0 2737048 2.289g   4204 S 197.7 14.6  16:11.90 [kthreaddi]
 1555 www-data  20   0  303732  36512  26100 S   0.7  0.2   0:13.68 php-fpm7.2
 1060 mysql     20   0 1625968 236968  17204 S   0.3  1.4   0:14.48 mysqld
 1415 www-data  20   0 1473092 1.400g      4 S   0.3  8.9   0:40.31 nsctnncdv
 1703 root      20   0       0      0      0 I   0.3  0.0   0:00.22 kworker/u4:0
 1916 www-data  20   0  303664  34164  23880 S   0.3  0.2   0:05.16 php-fpm7.2
    1 root      20   0  159664   8944   6780 S   0.0  0.1   0:01.62 systemd
    2 root      20   0       0      0      0 S   0.0  0.0   0:00.00 kthreadd
    3 root      20   0       0      0      0 I   0.0  0.0   0:00.00 kworker/0:0

Answer 1

kthreaddi是一个加密矿工，你可以删除它。
第一步:你应该找到挖矿过程的可执行文件链接

ls -l /proc/xxx/exe   

第二步:清除挖矿过程的执行文件。
第三步:在CPU消耗高的进程中定位挖矿进程，杀掉该进程。
第四步:检查挖矿程序的矿池地址是否存在于你服务器的防火墙中

执行以下命令检查是否有可疑
业务范围外的通讯地址和开放端口

  iptables -L -n

执行以下命令删除恶意矿池地址

   vi /etc/sysconfig/iptables

第五步:执行如下命令，查看是否有定时任务。

      crontab -l

第六步:可以使用该脚本检查SSH公钥中是否存在挖矿病毒，防止连续后门

  #!/bin/bash
    for X in $(cut -f6 -d ':' /etc/passwd |sort |uniq); do
        if [ -s "${X}/.ssh/authorized_keys" ]; then
            echo "### ${X}: "
            cat "${X}/.ssh/authorized_keys"
            echo ""
        fi
    done