筆者ubuntu小小小白式塌,p都不懂。現(xiàn)在問題雖然解決了友浸,但是仍然不知道是怎么造成的峰尝,應(yīng)該怎么加密端口,是不是被弄成礦機(jī)了收恢。武学。。只能常備份文件多觀察系統(tǒng)狀態(tài)了伦意。
操作系統(tǒng): Ubuntu 16.04
問題:一個叫ntpd的進(jìn)程占用cpu利用率過高
pid 4313顯示ntpd火窒,用了400%的cpu。
Network Time Protocol daemon(ntpd) 常駐進(jìn)程驮肉,應(yīng)該是用來對時的熏矿。我嘗試kill 4313進(jìn)程,過不了幾秒鐘离钝,這個進(jìn)程換了一個pid票编,又出來了。重啟系統(tǒng)該進(jìn)程自動啟動卵渴。當(dāng)時第一反應(yīng)是進(jìn)程可能自己死循環(huán)了慧域。。
上網(wǎng)學(xué)習(xí)了一下ubuntu的ntpd相關(guān)浪读,找到了有人有macOS的類似問題昔榴,有可能是對時的進(jìn)程鏈到舊的server上了[1][2]。所以我打開settings -> date & time -> ?Automatic Date & Time, Automatic Time Zone, 沒有效果碘橘。Cpu利用率還是居高不下互订。失敗蛹屿!
后來看stackoverflow上有人說ntpd有很多種,Ubuntu默認(rèn)用的不是ntp/ntpd岩榆,而應(yīng)該是叫ntpdate(當(dāng)然到現(xiàn)在我也不知道這是不是真的),并且建議用命令設(shè)置ntpd[3]错负。這時候我發(fā)現(xiàn)我沒有ntp/ntpd/ntpq的命令:
man ntpd # No manual entry for ntpd
which ntpd ?#顯示為空坟瓢,我根本沒安裝ntpd
我本以為這種對時的東西是系統(tǒng)里自帶的,在找安裝包的時候發(fā)現(xiàn)也沒有:
dpkg -l | grep ntp ?#只有這個顯示有Network Time Protocol Daemon犹撒,ntpd沒有
我以為ntp折联,ntpd這些東西是相互調(diào)用的,因?yàn)槲覜]裝ntpd所以出問題了识颊,于是我就
sudo apt-get install ntpd
安裝上了這個包诚镰,重啟了服務(wù)器。結(jié)果cpu還是400%居高不下祥款。失斍灞俊!于是又刪了刃跛。
再深入調(diào)查的時候發(fā)現(xiàn)有點(diǎn)不對頭了抠艾。。沒有安裝東西在運(yùn)行桨昙,怎么可能呢检号?
終于在中文網(wǎng)站找到了有人和我一樣的問題,root下的ntpd利用率過高[4]. ?他最后的結(jié)論是被攻擊了蛙酪。于是我按照他的步驟一步一步做(有些當(dāng)時沒截圖已經(jīng)找不到了,就筆錄了):
ps -ef | grep ntpd ?#輸出有一個root下的進(jìn)程
但是沒有/usr/sbin/ntpd這東西齐苛。
pstree -p ?#顯示開了8個進(jìn)程(kill了以后又自動生成了14503的ntpd進(jìn)程,仍然占400%cpu)
跟上面網(wǎng)站里的人遭遇很相似桂塞。
在進(jìn)程目錄下找執(zhí)行的程序:
cd /proc/14503
sudo ls -l exe
輸出:
定位到執(zhí)行文件
strace的輸出凹蜂,看不懂。藐俺。但是應(yīng)該不是什么好東西炊甲。。因?yàn)楹湍歉鐐儍旱妮敵鼋Y(jié)果類似:
sudo strace -p
sudo strace -cp
找到 /cpu/,只有/bin一個文件夾,里面是些實(shí)行文件和奇奇怪怪的東西庙楚,“墩朦?”文件是啥。镊讼。有的打開了也看不了。。
這里面也有cron.d文件官辽。雖然看不懂,但是估計(jì)偽裝進(jìn)程的程序都在這兒了粟瞬。
把bin文件夾全TM刪了同仆,殺掉進(jìn)程:
sudo rm -rv bin
sudo kill 14503
cpu利用率回復(fù)了,并且進(jìn)程沒有再復(fù)活裙品。
目前沒有重啟俗批,不知道刪沒刪干凈俗或,會不會重啟后再次出現(xiàn)。htop的界面一直開著觀察岁忘。
ref:?
1, https://discussions.apple.com/thread/7390949
2,?https://apple.stackexchange.com/questions/275453/macos-ntpd-uses-more-than-100-of-cpu
3,?https://askubuntu.com/questions/254826/how-to-force-a-clock-update-using-ntp
4,?https://lax.v2ex.com/t/471499
