linxu系统上某个进程出现长时间占用CPU高1.png先百度一下进程名看是否为系统正常进程看是否有其他人遇到相同的问题,经过查询kdevtmpfsi为系统正常进程名,

记录下运行账号polkitd及pid 10243

crontab -l检查任务计划里面的脚本未发现异常2.png查看系统账户

cat /etc/passwd

cat /etc/shadow

可以看到polkitd账户无特权并且不可登录系统,先不理他3.png检查是否存在id和组为0的特权账户,与windows排查思路一样,系统进程,服务,任务计划等参考:

linux系统后门查杀常见检查目录和内容

4.png先查看进程

pstree polkitd -ap

查看此用户的进程树,可以看到redis为主进程,看到子进程与top中看到的异常进程pid吻合,可以先排查redis是否存在异常。5.png

ls -la /proc/10243/exe 查看进程的执行路径,可以看到执行路径并不存在此文件

7.png

由于服务器上没有安装redis,并在主进程中看到了docker容器相关进程

此时考虑是否存在docker容器

8.png

docker ps 查看运行的容器看到6379端口运行,我们进去确认下是否为redis

docker exec -it 038e40ea0135 /bin/bash 连接进入容器命令9.pngps -aux

10.png

容器内查看cpu确认就是容器运行的redis引起的问题11.png一般情况下为redis未授权访问造成系统被黑,此时我们验证下是否是可以redis未授权登录

Windows下redis连接命令工具下载地址

https://github.com/MicrosoftArchive/redis/releases

命令redis-cli -h 192.168.10.12

连上后敲击命令info 可以看到列出了redis的配置信息说明不需要密码直接连接了,然后可以利用redis获取系统权限,此处不做讲解有兴趣自行百度。12.png

 

13.png

我们停掉redis容器试下

docker stop 038e40ea0135

14.png

可以看到cpu已经恢复,观察几分钟是否会再次出现。

15.png

linux系统后门查杀常见检查目录和内容