Странное поведение при использовании CPU с процессами systemd, sleep, initctl или gvfsd, принадлежащими пользователю

Question

Странное поведение при использовании CPU с процессами systemd, sleep, initctl или gvfsd, принадлежащими пользователю

Я заметил в своем приложении "индикатор-мультизагрузка", что загрузка моего ЦП через некоторое время после загрузки постоянно увеличивается примерно на 50–100 процентов. После запуска top я вижу процесс, принадлежащий пользователю (не root), который потребляет много ресурсов CPU, которые исчезают примерно через 5 секунд. Этот процесс иногда называется 'systemd', в то время как другие времена называются 'gvfsd', 'initctl' или 'sleep'.

Самое странное, что поддержание терминала в рабочем состоянии top предотвращает повторное появление этих процессов. Если "top" завершается, то через некоторое время я вижу, как много загружается ЦП, и повторный запуск "top" показывает, что один из вышеуказанных процессов снова работает (при высокой загрузке ЦП).

systemd при высокой загрузке процессора:

спать при высокой загрузке процессора:

Это нормальное поведение или моя система заражена каким-то вирусом?

Я использую Ubuntu 16.04 LTS с ядром 4.8.0-58-generic на Gigabyte GA Z87X D3H с двухъядерным процессором Intel и твердотельным накопителем Samsung 500 ГБ (без внешних накопителей, без проприетарных драйверов и т. Д.).

РЕДАКТИРОВАТЬ: та же ситуация здесь в Linux Mint 18.3 с KDE и Xfce

0

systemd malware cpu-load

Источник

John 06 ноя '18 в 01:30

2 ответа

Решение

Я не смог выяснить, в чем была проблема, поэтому я создал другого пользователя, и у нового пользователя проблемы не существует. Я также скопировал многие из моих файлов и настроек, включая скрытые папки, кроме.config,.gconf,.gnome, и проблема все еще не появляется.

Может быть, какие-то плохие настройки, может быть, какой-то вирус... В любом случае, это проблема, затрагивающая только старого пользователя.

0

Источник

John 14 ноя '18 в 19:25

Другие вопросы по тегам systemd malware cpu-load

NeuroDesigns 29 янв '19 в 00:47 2019-01-29 00:47 · Accepted Answer · 2019-01-29 00:47

Я также испытывал те же проблемы при работе с последней обновленной версией Xubuntu LTE. Я также отметил проблемы с моим интернет-соединением (сбои DNS, низкий отклик). У оскорбительной задачи может быть несколько имен. Была (конечно) главная задача - мониторинг системы и повторное открытие сердитого процессора. Запуск "top", даже если он переименован, заставил дочернюю задачу убить себя. Единственный способ увидеть выполнение задачи - через диспетчер задач. Если вы удалите оскорбительные файлы, они появятся снова.

Итак... Схватил мою шляпу Холмса, мою трость дома, и это то, что я нашел.

Этот файл автозапуска, похоже, содержит код, который запускает вирус при запуске:

~ /.Config / автозапуск / DBus-daemon.desktop

Строка кода exec:

Exec=/home/(your username)/.local/share/accounts/services/dbus-daemon

Эти файлы, похоже, содержат код, позволяющий вирусу получить привилегии:

~ /.Profile
~ /.Bashrc
~ /.Bash_profile

Код:

linux_bash="$HOME/(the path seems to be different, according to dissemination)"
if [ -e "$linux_bash" ];then
setsid "$linux_bash" 2>&1 & disown
fi

Поскольку у этих файлов была временная метка 20:33, я искал все файлы, измененные сразу после этого (их было еще несколько, но я уже удалил их для целей тестирования):

дом 20 января 2019 20:33:19 WET ./.bash_profile
дом 20 января 2019 20:33:19 WET ./.bashrc
дом 20 января 2019 20:33:19 WET ./.config/autostart/dbus-daemon.desktop
дом 20 января 2019 20:33:19 WET ./.profile
20 января 2019 20:33:19 WET ./.local/share/accounts/services/.dbus-daemon.bin
дом 20 января 2019 20:33:19 WET ./.local/share/icc/.icc-daemon.bin
дом 20 января 2019 20:33:19 WET ./.local/share/icc/.icc-daemon.log
20 января 2019 20:33:24 WET ./.kodi/addons/script.module.python.requests/lib/requests/packages/urllib3/connectionpool.py
дом 20 января 2019 20:34:06 WET ./.local/share/accounts/services/.dbus-daemon.sys
дом 20 января 2019 20:34:08 WET ./.local/share/icc/icc-daemon
дом 20 января 2019 20:34:08 WET ./.local/share/icc/.icc-daemon.sys
20 января 2019 20:34:44 WET ./.local/share/accounts/services/dbus-daemon

Распространение, кажется, создает 3 файла:

Одна отметка времени
Один base64 аналог
Оскорбительный сценарий

Что я сделал:

1- Удален файл автозапуска;

2- Удалить нарушающий код из ~ /.profile, ~ /.bashrc, ~ /.bash_profile

3- Пустая папка ~/.cache

4- Пустая папка / tmp

5- перезапущен

Я не знаю, что делает этот вирус. Я сохранил файл HEX, если кто-то захочет продолжить проверку. Поскольку я не знаю, как мой компьютер заразился (этот файл Kodi urllib3 выглядит подозрительно!), Я не могу гарантировать, что это окончательное решение, хотя сейчас все выглядит нормально... Я буду следить за своей системой в течение следующих нескольких дней, чтобы увидеть, если это все, что было.

Я надеюсь, что это помогает кому-то. Прости мой плохой английский...

ОБНОВИТЬ

У меня есть другая машина с LibreElec, тоже зараженная.