搜尋
搜尋

ubuntu 14.04 LTS irqbalance 占用 100% CPU

前往頁尾
Jericho_Wang
Jericho_Wang
Jericho_Wang
7分
樓主
2017-06-15 11:11
大家好, 如下圖, 每次ubuntu 連上網路時常常會有 irqbalanc1 在做用, 並且占用100% cpu resource, 這是中毒了嗎

將irqbalance 從/etc/default/irqbalance 關閉也是如此

2017-06-15 11:11 發佈
文章關鍵字 CPU 14.04 100
slash410
slash410
slash410
  • slash410
  • 個人積分:5281分
    文章編號:64733846
5281分
2樓
2017-06-15 13:47
看一下/tmp/httpd.conf裡面是啥

httpd.conf通常不會在/tmp

大概是有人偷偷進去請你幫忙挖礦吧?

看這網頁裡的shell大概就知道了..
https://www.honerix.com/file/raw/7a89ed89e45ea715d054c7b6902f0624
Jericho_Wang
Jericho_Wang
Jericho_Wang
7分
樓主
2017-06-15 15:25

slash410 wrote:
看一下/tmp/httpd...(恕刪)


slash大你好

是的, 網路上查到
https://security.stackexchange.com/questions/160068/kworker34-malware-on-linux/161398#161398oject,


已將兩年都是用浮動ip型式上網, 最近一個月改成固定ip, 不知是否因為這樣才容易受攻擊, 今天已經改回浮動.


您貼的sh檔案 locate 在哪裡呢, 看起來跟我的問題發生時所做的事情很像, 且cpu usage 會 reach 100%, 風扇轉一整天, 我只要把這檔案以及httpd.conf刪除就好了嗎?


謝謝你
slash410
slash410
slash410
  • slash410
  • 個人積分:5281分
    文章編號:64735208
5281分
4樓
2017-06-15 15:31
貼的網址應該是某個放病毒的傢伙不小心把shell丟到網路

shell的內容很簡單,
就是先殺掉舊的process (如果有的話
然後再去他的地方下載挖礦程式, 改個名字偽裝成irqbalanc1...
接著去他的的方下載新的設定檔, 然後偽裝成httpd.conf
最後就開始挖啦...


要怎麼防範喔, 你先看看這檔的時間
再看看登入log
使用者有沒增加
現有使用者密碼是不是太好猜
防火牆有沒開, 有沒紀錄

都不會的話....把/tmp掛成noexec好了....XD
Jericho_Wang
Jericho_Wang
Jericho_Wang
7分
樓主
2017-06-15 15:36

slash410 wrote:
貼的網址應該是某個...(恕刪)


了解了, 我在試試看, 感謝強者


內文搜尋
搜尋
從 APP 打開從 APP 打開
X
X
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
留言回報
取消 確定
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?