praiseindark 上周QB就经常崩溃,以为是盒子性能太拉,后来无意查看了进程,发现kswapd0进程占用了几乎100%的CPU,而内存swap占用不大,并且该进程pid过大,这时已经很可疑了。 再netstat看一看这个进程的IP指向。 在ipaddress上查了一下,ip指向瑞士。通过该IP再查了一下连接,只有这一个进程连接,那应该是没有多个木马嵌(๐•ᴗ•๐),把该木马的执行文件找出来删了即可。 定时文件里也要清理一下,最后再把进程杀掉,如果不清理完木马程序直接杀进程也没用,过一段时间还会重新启。 大家玩盒子还是要注意防火墙和端口,密码尽量不要用,多用密钥。
praiseindark ClarkChen 这个就要具体分析了,一般tr占用资源也挺多的,你可以ssh进去看看这个线程涉及的启动脚本有没有问题,我这个情况是最近一周突然QB占用异常,而且木马伪装的系统进程是管理内存的,所以能比较明显分辨出来
