【已解答】我该如何排查监控体现出的异常

这突如其来的异常如何排查，就这么一下，吓一跳。

南南呦 · 发表于 2022-10-20 09:32:30

您好！您可以检查一下当时是否有计划任务执行或者站点访问量激增。

天无神话 · 发表于 2022-10-20 10:59:22

堡塔运维向樛木发表于 2022-10-20 09:32
您好！您可以检查一下当时是否有计划任务执行或者站点访问量激增。

消息: CPU当前使用已超过[ 81.00% ]，其中【/usr/sbin/rshim】进程占用cpu最高，占用率为 0.15% 请及时排查。

运维风光 · 发表于 2022-10-20 11:31:43

有使用redis吗？
这个rshim进程好像是挖矿程序
参考下：
https://blog.csdn.net/qq_41897021/article/details/123628679

天无神话 · 发表于 2022-10-20 12:43:02

运维风光发表于 2022-10-20 11:31
有使用redis吗？
这个rshim进程好像是挖矿程序
参考下：

在使用redis，但没有放行外网端口，占用仅0.15%，这是宝塔的异常通知。占用和硬盘读写异常只持续了那么一下，我再看看宝塔日志吧

天无神话 · 发表于 2022-10-20 13:25:50

运维风光发表于 2022-10-20 11:31
有使用redis吗？
这个rshim进程好像是挖矿程序
参考下：

宝塔论坛其他帖子，有说rshim会被病毒调用。反正我也不认识，我给它关了。然后发现一个叫threatbook.OneAV的进程，这个也不认识

天无神话 · 发表于 2022-10-20 13:29:18

已强制结束异常进程:[oneav],PID:[30714],CPU:[0.0],CMD:[oneav -threatbook.OneAV]
宝塔加固插件日志，在暂停这个服务，但是它还是会重新启动运行，是不是这个程序：微步木马检测

运维风光 · 发表于 2022-10-20 14:36:14

天无神话发表于 2022-10-20 13:29
已强制结束异常进程:[oneav],PID:[30714],CPU:[0.0],CMD:[oneav -threatbook.OneAV]
宝塔加固插件日志，在 ...

是的微步木马检测，感谢您的反馈，大概明天发新的系统加固版本