主页 / ubuntu / 问题 / 1090365
Accepted
John
Asked: 2018-11-06 17:30:10 +0800 CST

用户拥有的 systemd、sleep、initctl 或 gvfsd 进程的奇怪 CPU 使用行为

  • 772

我注意到在我的“indicator-multiload”应用程序中,我的 CPU 使用率在启动后的一段时间内永久提高了大约 50% 到 100%。运行“top”后,我可以看到用户(不是 root)拥有的进程消耗了大量 CPU,大约 5 秒后消失。该过程有时称为“systemd”,而其他时候称为“gvfsd”、“initctl”或“sleep”。

最奇怪的是,保持终端运行“顶部”会阻止这些进程再次出现。如果“top”被终止,那么一段时间后我可以看到大量的 CPU 使用率,重新运行“top”表明上述进程之一再次运行(在高 CPU 下)。

高 CPU 使用率的 systemd: CPU使用率高的systemd

在 CPU 使用率高时休眠: 以高 CPU 使用率睡眠

这是正常行为还是我的系统被某种病毒感染了?

我在配备英特尔双核和三星 500GB SSD(无外部驱动器、无专有驱动程序等)的 Gigabyte GA Z87X D3H 上运行内核为 4.8.0-58-generic 的 Ubuntu 16.04 LTS。

编辑:Linux Mint 18.3 上的情况KDE 和 Xfce相同

cpu-load systemd malware

2 个回答

  1. Best Answer

    我在运行最新的 Xubuntu LTE 时也遇到了同样的问题,更新了。我还注意到我的互联网连接问题(DNS 故障、低响应)。有问题的任务可能有多个名称。(当然)有一个主要任务监视系统并重新打开 CPU 生气。运行“top”,即使重命名,也会使子任务自杀。查看任务运行的唯一方法是通过任务管理器。如果您删除了有问题的文件,它们会重新出现。

    所以... 抓起我的福尔摩斯帽,我的手杖,这就是我找到的。

    这个自动启动文件似乎有使病毒在启动时运行的代码:

    • ~/.config/autostart/dbus-daemon.desktop

    执行代码行:

    Exec=/home/(your username)/.local/share/accounts/services/dbus-daemon

    这个文件似乎有使病毒获得特权的代码:

    • ~/.profile
    • ~/.bashrc
    • ~/.bash_profile

    编码:

    linux_bash="$HOME/(the path seems to be different, according to dissemination)"
if [ -e "$linux_bash" ];then
setsid "$linux_bash" 2>&1 & disown
fi

    由于这些文件的时间戳为 20:33,因此我搜索了所有修改后的文件(还有一些文件,但出于测试目的我已经删除了它们):

    • dom 2019 年 1 月 20 日 20:33:19 WET ./.bash_profile
    • dom 2019 年 1 月 20 日 20:33:19 WET ./.bashrc
    • dom 2019 年 1 月 20 日 20:33:19 WET ./.config/autostart/dbus-daemon.desktop
    • dom 2019 年 1 月 20 日 20:33:19 WET ./.profile
    • dom 2019 年 1 月 20 日 20:33:19 WET ./.local/share/accounts/services/.dbus-daemon.bin
    • dom 2019 年 1 月 20 日 20:33:19 WET ./.local/share/icc/.icc-daemon.bin
    • dom 2019 年 1 月 20 日 20:33:19 WET ./.local/share/icc/.icc-daemon.log
    • dom 2019 年 1 月 20 日 20:33:24 WET ./.kodi/addons/script.module.python.requests/lib/requests/packages/urllib3/connectionpool.py
    • dom 2019 年 1 月 20 日 20:34:06 WET ./.local/share/accounts/services/.dbus-daemon.sys
    • dom 2019 年 1 月 20 日 20:34:08 WET ./.local/share/icc/icc-daemon
    • dom 2019 年 1 月 20 日 20:34:08 WET ./.local/share/icc/.icc-daemon.sys
    • dom 2019 年 1 月 20 日 20:34:44 WET ./.local/share/accounts/services/dbus-daemon

    传播似乎创建了 3 个文件:

    • 一个时间戳
    • 一个 base64 相似
    • 有问题的脚本

    我做了什么:

    1-删除了自动启动文件;

    2- 从~/.profile、~/.bashrc、~/.bash_profile 中删除有问题的代码

    3- 清空 ~/.cache 文件夹

    4- 清空 /tmp 文件夹

    5-重新启动

    不知道这个病毒有什么作用。如果有人想进一步检查,我确实保存了 HEX 文件。因为我不知道我的机器是如何被感染的,(那个 Kodi urllib3 文件看起来很可疑!)我不能保证这是一个最终的解决方案,尽管现在一切看起来都很好......我会在接下来的几个中检查我的系统几天看看这是否就是全部。

    我希望这可以帮助别人。原谅我可怜的英语...

    更新

    我有另一台运行 LibreElec 的机器,也被感染了。

    • 1

  2. 我找不到问题所在,所以我创建了另一个用户,但新用户不存在问题。我还复制了许多文件和设置,包括隐藏文件夹,除了 .config、.gconf、.gnome 和问题仍然没有出现。

    也许是一些不好的设置,也许是某种病毒......无论如何,这是一个只影响老用户的问题。

    • 0

相关问题