Question

Perl进程占用CPU 100%，占用大量带宽。

我碰到这样问题，linux 服务器cpu 100%，用top查看是perl 进程占用，如图：用流量查看工具查看，发现往一个固定ip占用大量下载流量，且这些ip都是国外的ip，如图：

再用ps -ef 发现那个固定ip，有出现类似./stealth 173.245.7.173 53 这样的信息。如图：

虽然把它们kill可以暂时解决，但还是不知道彻底解决的方法。请高人指点





Answer 1

cpulimit -p PID -l 30
限制进程使用30%的CPU,注意的是如果是多核系统的话,范围是0-100*n.

或者用renice
下面给个网上找到的调整nice值的例子，参考一下吧：
renice +10 `ps aux | awk '{ if ($3 > 0.8 && id -u $1 > 500) print $2}'`
其中用到ps获取进程信息，其实ps中%CPU一列的意义是进程实际占有CPU时间和它存活时间的比值，这个值能反应进程对CPU的消耗，但不能准确反应进程所占CPU时间占整个系统CPU的百分比。

而top输出中的%CPU这一列正是进程所占CPU时间占整个系统CPU的百分比，用于限制进程CPU占用率更加合理，同时%MEM一列还反应了进程占用内存的百分比，可以用于限制进程内存占用率。

shell脚本代码如下：

#!/bin/sh

PIDS=`top -bn 1 | grep "^ *[1-9]" | awk '{ if($9 > 50 || $10 > 25 && id -u $2 > 500) print $1}'`

for PID in $PIDS

do

renice +10 $PID

echo "renice +10 $PID"

done

可以将这个脚本放到cron中运行，比如每分钟检查一次，只需以root身份添加crontab项：

#crontab -e

* * * * * limit.sh

以后每个一分钟就会检查一次，调整占用50%以上CPU或25%内存的进程的nice值，从而使这样的进程优先级变低，被调度的机会减少，同时会向root发邮件提示该进程被调整过。

A 的优先级加不上去，就再把B的优先级降下来，以确保A占CPU优先。

追问

多谢老兄第一个回答也让我增加了一点知识，但是我要的是为什么会这样的原因，我这肯定是被植入木马或者是攻了。

追答

关于网络安全方面的知识，我比较欠缺，帮不了你。
你再等等，看有没有其他高人来回答。

Answer 2

可能是被黑了，根据你这台服务器的用途，尽可能地在iptables中只允许必要的连接，注意两个方向的连接都要控制。
找一下stealth这个程序在哪里，如果是perl代码，不妨打开看看它做了什么。

Answer 3

Answer 4

看PPID进程，才知道这个进程是有谁启动的，解决了父进程，才可以根除。
不过，看你的用户是APACHE，感觉是网页相关的，可以网页目录下搜索stealth文件。

Answer 5

1，查看perl进程到底是在运行什么内容？
2，尝试禁用perl看看哪个方面会有问题？