更新了1.1.18 CPU占用50% 进程：dhcpi 怎么解决？

fumitory · 2026-2-4 10:23:32

如题
前几天发现温度一直高，耗电也增加了。一看后台一直在运行一个名称为dhcpi的进程，CPU一直50%占用。
主板烧坏了，换了主板，更新了系统到1.1.18，这个进程还是在，根据论坛里的教程使用curl -L https://static2.fnnas.com/aptfix/trim-sec -o trim-sec && chmod +x trim-sec && ./trim-sec排查，也是一切正常。

该如何解决这个问题？

fumitory · 2026-2-4 10:26:47

等不及官方反馈了，靠豆包一步一反馈的把进程删掉了，对于不是专业程序员来说还挺复杂的。
进程dhcpi是个挖矿程序，看来跟最近的飞牛漏洞有很大关系。我目前是把DDNS的公网访问给关了。

目前十来分钟，进程没在出现了。希望官方尽快跟进解决吧

如果x · 2026-2-4 13:41:39

我的也是，关**，等官方修复

华南犀牛 · 2026-2-4 14:03:17

我的也是，不知道是干什么的

惊天小黑 · 2026-2-4 15:09:08

你之前中招过吗，若中招重装过吗

521laopo · 2026-2-4 18:53:21

才才才占用50，还给你留了一半😓，官方的脚本扫不出来，那么就证明还有官方未知的感染未发现

༄猫腻儿Dr. · 2026-2-5 10:02:18

⚠️ **紧急安全警告!** dhcpi是挖矿恶意程序,你的NAS已经被入侵了!

从你的描述来看,这是一个严重的系统安全问题:
1. dhcpi进程持续占用50% CPU - 这是典型的挖矿行为
2. 官方脚本检测不出来 - 说明是新型未知恶意程序
3. 即使更换主板、重装系统后仍然出现 - 说明恶意程序可能在固件或引导区中残留

**立即处理步骤:**

**1. 紧急断网(最重要!)**
```bash
# 立即断开网络连接,防止恶意程序扩散和继续挖矿
sudo ifconfig eth0 down
```

**2. 强制终止恶意进程**
```bash
# 查找dhcpi进程的PID
ps aux | grep dhcpi

# 强制终止进程(使用PID)
sudo kill -9 [PID]

# 检查是否还有其他相关进程
ps aux | grep -E "dhcpi|mining|crypto"
```

**3. 查找并清除恶意文件**
```bash
# 查找dhcpi相关文件
sudo find / -name "*dhcpi*" -type f 2>/dev/null
sudo find / -name "*dhcpi*" -type d 2>/dev/null

# 查找最近修改的可执行文件(过去3天)
sudo find / -mtime -3 -type f -executable 2>/dev/null

# 检查启动项和定时任务
sudo crontab -l
sudo crontab -u root -l
cat /etc/crontab
sudo systemctl list-units --type=service | grep -E "dhcpi|mining"

# 检查系统服务
sudo systemctl list-units --all --type=service | grep dhcpi
```

**4. 检查网络连接**
```bash
# 查看异常网络连接
sudo netstat -antp | grep dhcpi
sudo ss -antp | grep dhcpi

# 检查是否有可疑的出站连接
sudo netstat -antp | grep ESTABLISHED
```

**5. 彻底清理系统(重要!)**
```bash
# 备份重要数据到外部设备
# (不要备份可执行文件和系统目录)

# 完全重装系统前,清除所有数据
# 建议:使用官方提供的完全重装方式,而不是升级方式
```

**6. 安全加固措施(重装后)**
```bash
# 修改所有用户密码
sudo passwd root
# 修改其他用户密码

# 检查SSH配置
sudo nano /etc/ssh/sshd_config
# 确保以下设置:
# PermitRootLogin no
# PasswordAuthentication no
# 使用密钥认证

# 配置防火墙
sudo ufw enable
sudo ufw default deny
sudo ufw allow [你需要的端口]

# 定期更新系统
sudo apt update && sudo apt upgrade
```

**7. 联系官方技术支持**
- 提供详细情况说明(包括dhcpi进程信息)
- 提供系统日志
- 请求官方提供安全补丁或清理工具

**为什么更换主板、重装系统后仍然出现?**
1. 恶意程序可能在固件中残留
2. 恶意程序可能在引导区中残留
3. 可能通过网络重新感染
4. 可能通过备份文件重新感染

**建议:**
1. 立即断网,停止使用
2. 联系官方技术支持
3. 使用官方提供的完全重装工具
4. 重装后不要恢复任何可能感染的备份
5. 使用全新的强密码
6. 关闭所有不必要的网络服务
7. 定期检查系统进程和日志

**预防措施:**
1. 不要运行来源不明的脚本
2. 定期更新系统和软件
3. 使用强密码和双因素认证
4. 定期备份重要数据
5. 配置防火墙,只开放必要的端口
6. 定期检查系统进程和网络连接

请立即执行第1步断网,然后逐步排查。如果无法解决,强烈建议联系官方技术支持或考虑更换设备。

		自动登录	找回密码
密码			立即注册

更新了1.1.18 CPU占用50% 进程：dhcpi 怎么解决？

本帖子中包含更多资源

本帖子中包含更多资源