VC驿站

 找回密码
 加入驿站

QQ登录

只需一步,快速开始

搜索
查看: 74|回复: 0

[原创] 一次简单的服务器 cpu 占用率高的快速排查

[复制链接]
70_avatar_middle
最佳答案
0 
在线会员 发表于 4 天前 | 显示全部楼层 |阅读模式
今天,朋友遇到一个线上 cpu 占用率很高的问题,我们俩一起快速定位并解决了这个问题。在征求朋友同意后,特发此文分享整个过程。本文以对话的形式展开,加上我的内心独白。文中对话与实际对话略有出入。
友:在吗?
我:怎么了兄弟?
友:这边有一台服务器客户说 cpu 占用率高,怀疑挖矿了。
一次简单的服务器 cpu 占用率高的快速排查
我:用 wpr 抓一下吧,这是个服务进程。
旁白:一看截图是 svchost 进程,最先想到的是抓一个系统运行过程。正常情况下,svchost 是微软的服务进程。
我:看看是什么服务。
旁白:尽量缩小范围,此时我潜意识里还以为是朋友自己的程序出了问题。
我:先看看命令行 看看是哪类服务。
旁白:通过命令行可以看出启动的是什么类型的服务。
一次简单的服务器 cpu 占用率高的快速排查
友:
一次简单的服务器 cpu 占用率高的快速排查
我:svchost 应该不会放到 c:\temp下面的,应该是个病毒了。
旁白:正常的 svchost 不会在 c:\temp下出现,而是在C:\Windows\System32\ 下。
我:看看这个程序有微软签名吗?
旁白:为了进一步确认,请朋友确认这个 svchost 是否有微软的签名。如果没签名,是病毒无疑了。
友:
一次简单的服务器 cpu 占用率高的快速排查
我:这个文件没签名的?
旁白:WC,没想到还真是病毒。
我:应该是被人动过手脚了。
一次简单的服务器 cpu 占用率高的快速排查
我:用 autoruns 看下启动项。
旁白:确定是病毒后,接下来的任务就是杀毒了。先查下这个病毒是怎么运行起来的吧。
从上面的截图中我看到了svchost.exe的父进程是taskhost.exe。
我:到schedule task下面找到可疑的启动项,删掉。这个进程可以直接杀了,应该是中毒了。
旁白:从上面的截图中我看到了svchost.exe的父进程是taskhost.exe。
友:
一次简单的服务器 cpu 占用率高的快速排查
我:管理员权限开了吗?看上去没有可疑的。
旁白:朋友开了管理员权限,也没有发现可疑项目。
我:看下服务里面有没有可疑的。
旁白:有可能是通过服务启动的。
友:
一次简单的服务器 cpu 占用率高的快速排查
我:可疑!
一次简单的服务器 cpu 占用率高的快速排查
友:这个里面也没签名。
一次简单的服务器 cpu 占用率高的快速排查
友:中毒了。
一次简单的服务器 cpu 占用率高的快速排查
友: 谢谢!
旁白:朋友还顺便发了个红包,太客气了!
完!

评分

参与人数 2威望 +3 驿站币 +17 热心值 +5 收起 理由
58_avatar_small thzzl + 2 + 2 支持原创!
75_avatar_small wl1383838438 + 3 + 15 + 3 赞一个!

查看全部评分





上一篇:外部CSS样式应该如何获取?
下一篇:DBG直连XP 教材在B站
您需要登录后才可以回帖 登录 | 加入驿站 qq_login

本版积分规则

×【发帖 友情提示】
1、请回复有意义的内容,请勿恶意灌水;
2、纯数字、字母、表情等无意义的内容系统将自动删除;
3、若正常回复后帖子被自动删除,为系统误删的情况,请重新回复其他正常内容或等待管理员审核通过后会自动发布;
4、感谢您对VC驿站一如既往的支持,谢谢合作!

关闭

站长提醒上一条 /2 下一条

QQ|小黑屋|手机版|VC驿站 ( 辽ICP备09019393号 )|网站地图wx_jqr

GMT+8, 2020-8-6 05:42

Powered by CcTry.CoM

© 2009-2020 cctry.com

快速回复 返回顶部 返回列表