用户拥有的 systemd、sleep、initctl 或 gvfsd 进程的 CPU 使用率行为异常

用户拥有的 systemd、sleep、initctl 或 gvfsd 进程的 CPU 使用率行为异常

我注意到,在我的“indicator-multiload”应用程序中,启动后的某个时间点,我的 CPU 使用率会持续升高到大约 50% 到 100%。运行“top”后,我可以看到用户(不是 root)拥有的一个进程消耗了大量的 CPU,大约 5 秒后就会消失。该进程有时称为“systemd”,有时称为“gvfsd”、“initctl”或“sleep”。

最奇怪的是,让终端继续运行“top”可以防止这些进程再次出现。如果终止“top”,那么一段时间后我可以看到大量的 CPU 使用率,而重新运行“top”会发现上述进程之一再次运行(CPU 使用率高)。

systemd CPU 使用率过高: systemd CPU 使用率过高

CPU 使用率高时休眠: CPU 使用率高时休眠

这是正常现象吗?还是我的系统感染了某种病毒?

我在配备英特尔双核处理器和三星 500GB SSD(无外部驱动器、无专有驱动程序等)的 Gigabyte GA Z87X D3H 上运行内核为 4.8.0-58-generic 的 Ubuntu 16.04 LTS。

编辑:同样情况这里在 Linux Mint 18.3 上同时使用 KDE 和 Xfce

答案1

我在运行最新的 Xubuntu LTE 时也遇到了同样的问题,更新了。我还注意到我的互联网连接有问题(DNS 故障、响应速度慢)。有问题的任务可能有多个名称。当然,有一个主任务监控系统并重新打开 CPU 故障任务。运行“top”,即使重命名,也会导致子任务自行终止。查看正在运行的任务的唯一方法是通过任务管理器。如果您删除有问题的文件,它们会重新出现。

所以...拿起我的福尔摩斯帽子,我的家杖,这就是我发现的东西。

该自动启动文件似乎含有使病毒在启动时运行的代码:

  • ~/.config/自动启动/dbus-daemon.desktop

执行代码行:

Exec=/home/(your username)/.local/share/accounts/services/dbus-daemon

此文件似乎含有使病毒获得特权的代码:

  • 〜/ .profile
  • ~/.bashrc
  • 的〜/ .bash_profile

代码:

linux_bash="$HOME/(the path seems to be different, according to dissemination)"
if [ -e "$linux_bash" ];then
setsid "$linux_bash" 2>&1 & disown
fi

由于这些文件的时间戳为 20:33,我搜索了此后修改的所有文件(还有一些,但出于测试目的我已将其删除):

  • dom 2019 年 1 月 20 日 20:33:19 WET ./.bash_profile
  • dom 2019 年 1 月 20 日 20:33:19 WET ./.bashrc
  • dom 2019 年 1 月 20 日 20:33:19 WET ./.config/autostart/dbus-daemon.desktop
  • dom 2019 年 1 月 20 日 20:33:19 WET ./.profile
  • dom 2019 年 1 月 20 日 20:33:19 WET ./.local/share/accounts/services/.dbus-daemon.bin
  • dom 2019 年 1 月 20 日 20:33:19 WET ./.local/share/icc/.icc-daemon.bin
  • dom 2019 年 1 月 20 日 20:33:19 WET ./.local/share/icc/.icc-daemon.log
  • dom 2019 年 1 月 20 日 20:33:24 WET ./.kodi/addons/script.module.python.requests/lib/requests/packages/urllib3/connectionpool.py
  • dom 2019 年 1 月 20 日 20:34:06 WET ./.local/share/accounts/services/.dbus-daemon.sys
  • dom 2019 年 1 月 20 日 20:34:08 WET ./.local/share/icc/icc-daemon
  • dom 2019 年 1 月 20 日 20:34:08 WET ./.local/share/icc/.icc-daemon.sys
  • dom 2019 年 1 月 20 日 20:34:44 WET ./.local/share/accounts/services/dbus-daemon

传播似乎创建了 3 个文件:

  • 一个时间戳
  • 一个 base64 相似项
  • 令人反感的脚本

我做了什么:

1- 删除自动启动文件;

2- 从 ~/.profile、~/.bashrc、~/.bash_profile 中删除有问题的代码

3-清空~/.cache 文件夹

4-清空 /tmp 文件夹

5- 重新启动

我不知道这个病毒会做什么。如果有人想进一步检查,我确实保存了 HEX 文件。因为我不知道我的机器是如何被感染的,(那个 Kodi urllib3 文件看起来很可疑!)我不能保证这是一个最终的解决方案,尽管现在一切似乎都很好……我会在接下来的几天里检查我的系统,看看是否只有这些。

我希望这对某人有帮助。请原谅我的英语不好...


更新

我还有另一台运行 LibreElec 的机器,也被感染了。

答案2

我无法找出问题所在,所以我创建了另一个用户,新用户上不存在问题。我还复制了许多文件和设置,包括隐藏文件夹(.config、.gconf、.gnome 除外),问题仍然没有出现。

也许是某些不良设置,也许是某种病毒……无论如何,这是一个只影响老用户的问题。

相关内容