【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看!

繁星¹⁸⁹⁵2023-11-24 10:52

问题描述

htop发现前32个核全被占满了,但是却找不到对应进程号

查杀

安装unhide查看隐藏进程

bash 复制代码 
apt-get install unhide

unhide使用

bash 复制代码 
unhide proc

果然发现了隐藏进程

治标:杀死隐藏进程

bash 复制代码 
kill -9 [pid]

这么多pid号,我这边杀了其中一个,发现CPU就没有被占用了。
但是过了段几小时后病毒程序再次启动。

治根:找出病毒位置

程序写在kernel里了?

参考文章

急死!CPU被挖矿了,却找不到哪个进程!
阿里云 centos 服务器 长期 cpu100%,无法通过top、ps等命令找出占cpu进程?

附录

分析病毒文件

bash 复制代码 
cd /proc/隐藏进程pid号

病毒进程主目录/proc/2036

可以发现这货将exe文件软链接到/1783629e (deleted),这样让系统误以为进程号不存在?

运行exe

/proc/2036/task/2036/attr

/proc/2036/task/2036/fd

/proc/2036/map_files

/proc/2036/ns

发现不同进程的这个ns都是一样的,看来程序是写死的

/proc/2036/fd

/proc/2036/task/

/proc/2036/task/2036

这里task里面的2036和外面的/proc/2036是一样的

通过下述命令了解unhide 详细用法

bash 复制代码 
unhide -h
man unhide
man unhide-tcp
相关推荐
IT成长日记16 分钟前
【自动化运维神器Ansible】Ansible常用模块之hostname模块详解
运维·自动化·ansible·hostname·常用模块
lixzest39 分钟前
Linux 中,命令查看系统版本和内核信息
linux·运维·服务器
朱小弟cs61 小时前
Orange的运维学习日记--16.Linux时间管理
linux·运维·学习
chen_note1 小时前
LAMP及其环境的部署搭建
linux·运维·mysql·php·apache·lamp·phpmyadmin
夕泠爱吃糖1 小时前
Linux 操作系统
linux·运维·服务器
数据要素X2 小时前
【数据架构10】数字政府架构篇
大数据·运维·数据库·人工智能·架构
专注VB编程开发20年2 小时前
winsock socket通讯为什么UDP服务器无法获取客户端IP?
服务器·tcp/ip·udp
G_H_S_3_2 小时前
【网络运维】 Linux:使用 Cockpit 管理服务器
运维·服务器·网络
Linux技术支持工程师2 小时前
二十八、【Linux系统域名解析】DNS安装、子域授权、缓存DNS、分离解析、多域名解析
linux·运维·服务器·缓存·centos
Adorable老犀牛3 小时前
AI×运维:从“救火队员”到“预见者”的涅槃:智启下一代IT运维的无限可能
运维·人工智能·aiops
热门推荐
01Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code02全球最强模型Grok4,国内已可免费使用!(附教程)03MSPM0G3507——读取引脚的高低电平方法(数字信号循迹模块)04Coze 开源了,送上保姆级私有化部署方案【建议收藏】05腾讯还是太全面了,限时免费!超全CodeBuddy IDE保姆级教程!(附案例)06扣子开源本地部署教程 丨Coze智能体小白喂饭级指南07KGG转MP3工具|非KGM文件|解密音频08【手把手攻略】国家育儿补贴正式开领!一键算清你能拿多少钱?附补贴领取计算器09coze 开源版本地部署及踩过的坑【喂饭级教程】10机器学习——多项式回归算法