计算化学公社

标题: 关于 plymouthd 进程占满 CPU [打印本页]

作者
Author: 乐平 时间: 2023-7-25 15:48
标题: 关于 plymouthd 进程占满 CPU
课题组的集群（CentOS 7 系统，已经用了接近 6 年）最近出现很奇怪的现象，发现有 plymouthd 进程占满了 CPU。

(, 下载次数 Times of downloads: 40)

搜了一下，似乎说是跟开机动画有关？

可以用 root 手动 kill 掉，但是隔几天又会出现并占满 CPU。

搜 disable plymouthd CentOS，但是找到的似乎都是 Fedora, Ubuntu, OpenSuse 的解决方案
https://linuxconfig.org/how-to-disable-plymouth-on-linux

请问各位有没有遇到过 plymouthd 进程占满 CPU 的情况？有没有适合 CentOS 7 的解决方案呢？谢谢！

作者
Author: 王二葛 时间: 2023-7-26 00:02
我们组内的服务器中过病毒，总是有个 bash 程序占满了 CPU

建议检查下这个程序是否真的对应于开机动画

作者
Author: anson 时间: 2023-7-26 00:19
本帖最后由 anson 于 2023-7-26 00:20 编辑

省流：重装保平安。

上个月组里的服务器也有过类似的情况，也是kill掉后大概半小时又会自启回来

仔细查看进程后发现是伪装成一个普通进程的恶意程序（l假扮i和1之类的），而且有莫名其妙的大量上下行网络连接、极高的CPU占用和内存占用，基本上是完全没法用的状态。我感觉有可能是被入侵挖矿什么的，试了网上的很多办法都不得行。找学校的破IT部门，说不是学校采购的机器他们不管

最后只能重装系统

顺路把系统从CentOS 8 Stream升级成了Rocky Linux 9.2，用的各种程序也给升级了一波。

作者
Author: 乐平 时间: 2023-7-26 11:07

王二葛发表于 2023-7-26 00:02
我们组内的服务器中过病毒，总是有个 bash 程序占满了 CPU

建议检查下这个程序是否真的对应于开机动画

谢谢回复

我也怀疑并不是真的开机动画……

作者
Author: 乐平 时间: 2023-7-26 11:07

anson 发表于 2023-7-26 00:19
省流：重装保平安。

上个月组里的服务器也有过类似的情况，也是kill掉后大概半小时又会自启回来

谢谢回复！

可能真的被恶意攻击了，查 IP 有韩国，法国的……

作者
Author: abin 时间: 2023-7-26 11:41
猜测一下，被获取权限的途径……
一般而言，机器应该是在局域网，不能直接从互联网访问……

用户通过微软访问，也许用的是密码，或者密钥，
但是SSH客户端没有开始密码保护，
或者密钥没有密码检验……

微软系统用远程桌面之类……
这种玩意有弱密码或者漏洞……

只要突破了微软，SSH工具保存的密码，还不是直接登录使用？

密钥开启密码检验，很关键的。
如果用密码验证……请在ssh工具中，开始主控密码。

另外，告诉用户，管好微软的安全措施。

作者
Author: 乐平 时间: 2023-7-26 17:39

abin 发表于 2023-7-26 11:41
猜测一下，被获取权限的途径……
一般而言，机器应该是在局域网，不能直接从互联网访问……

谢谢您的提醒。

我自己的 SSH 客户端登录的时候都是输入密码登录服务器的，没有保存过密码。
学生登录的时候估计为了省事，设置了保存密码登录服务器。

另外，远程工具（例如，向日葵之类的）只有服务器遇到问题，工程师远程服务的时候才开启。
难道是工程师设置了后门？

作者
Author: wxsxjj 时间: 2023-7-26 19:44

乐平发表于 2023-7-26 17:39
谢谢您的提醒。

我自己的 SSH 客户端登录的时候都是输入密码登录服务器的，没有保存过密码。

改用密钥登陆呢？
之后SSH直接ban掉密码登录
不知道管不管用

作者
Author: 乐平 时间: 2023-7-26 20:21

wxsxjj 发表于 2023-7-26 19:44
改用密钥登陆呢？
之后SSH直接ban掉密码登录
不知道管不管用

ban掉密码登录？是不是说反了……

作者
Author: abin 时间: 2023-7-27 09:28

乐平发表于 2023-7-26 17:39
谢谢您的提醒。

我自己的 SSH 客户端登录的时候都是输入密码登录服务器的，没有保存过密码。

最后一段，我不评价。

我有发现，向日葵曾经篡改我机器上的root的密钥，
然后，我就彻底抛弃了这个玩意……

作者
Author: wxsxjj 时间: 2023-7-27 09:50

乐平发表于 2023-7-26 20:21
ban掉密码登录？是不是说反了……

就是所谓免密登录。不知道有没有用，具体原理我也不太懂

作者
Author: 乐平 时间: 2023-7-27 15:37

wxsxjj 发表于 2023-7-27 09:50
就是所谓免密登录。不知道有没有用，具体原理我也不太懂

“免密登录”和你说的“ban掉密码登陆”完全是两回事……

作者
Author: 乐平 时间: 2023-7-27 15:38

abin 发表于 2023-7-27 09:28
最后一段，我不评价。

我有发现，向日葵曾经篡改我机器上的root的密钥，

那远程工具您推荐什么呢？

作者
Author: abin 时间: 2023-7-27 16:27

乐平发表于 2023-7-27 15:38
那远程工具您推荐什么呢？

我用苹果和Linux
系统的终端用用就行了。

微软有多种工具，我十多年不用微软，不太清楚。
我记得有一个MobaXterm，上课的时候，给学生推荐过。
因为这个免费的功能就够用了。
其他不懂。

如果用微软的话，与用户的安全意识和安全策略有关系。
和工具关系不太大。

欢迎光临计算化学公社 (http://bbs.keinsci.com/)