【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看!

繁星¹⁸⁹⁵2023-11-24 10:52

问题描述

htop发现前32个核全被占满了,但是却找不到对应进程号

查杀

安装unhide查看隐藏进程

bash 复制代码 
apt-get install unhide

unhide使用

bash 复制代码 
unhide proc

果然发现了隐藏进程

治标:杀死隐藏进程

bash 复制代码 
kill -9 [pid]

这么多pid号,我这边杀了其中一个,发现CPU就没有被占用了。
但是过了段几小时后病毒程序再次启动。

治根:找出病毒位置

程序写在kernel里了?

参考文章

急死!CPU被挖矿了,却找不到哪个进程!
阿里云 centos 服务器 长期 cpu100%,无法通过top、ps等命令找出占cpu进程?

附录

分析病毒文件

bash 复制代码 
cd /proc/隐藏进程pid号

病毒进程主目录/proc/2036

可以发现这货将exe文件软链接到/1783629e (deleted),这样让系统误以为进程号不存在?

运行exe

/proc/2036/task/2036/attr

/proc/2036/task/2036/fd

/proc/2036/map_files

/proc/2036/ns

发现不同进程的这个ns都是一样的,看来程序是写死的

/proc/2036/fd

/proc/2036/task/

/proc/2036/task/2036

这里task里面的2036和外面的/proc/2036是一样的

通过下述命令了解unhide 详细用法

bash 复制代码 
unhide -h
man unhide
man unhide-tcp
相关推荐
.生产的驴1 分钟前
Docker 部署Nexus仓库 搭建Maven私服仓库 公司内部仓库
java·运维·数据库·spring·docker·容器·maven
cwywsx10 分钟前
Linux:进程控制2
linux·运维·算法
熙曦Sakura10 分钟前
【Linux网络】 HTTP cookie与session
linux·网络·http
南棱笑笑生14 分钟前
20250512给NanoPi NEO core开发板在Ubuntu core20.04系统下重新编译boot.img
linux·运维·ubuntu
Ha-gd27 分钟前
Linux基础开发工具一(yum/apt ,vim)
linux·服务器
charlie1145141911 小时前
内核深入学习3——分析ARM32和ARM64体系架构下的Linux内存区域示意图与页表的建立流程
linux·学习·架构·内存管理
Caron_xcb2 小时前
大数据——解决Matplotlib 字体不足问题(Linux\mac\windows)
大数据·linux·matplotlib
水水沝淼㵘2 小时前
嵌入式开发学习日志(数据结构--顺序结构单链表)Day19
linux·服务器·c语言·数据结构·学习·算法·排序算法
愚润求学2 小时前
【Linux】基础 IO(一)
linux·运维·服务器·开发语言·c++·笔记
what_20182 小时前
分布式链路跟踪
java·运维·分布式
热门推荐
01YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04DeepSeek各版本说明与优缺点分析05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06Coze扣子平台完整体验和实践(附国内和国际版对比)07组基轨迹建模 GBTM的介绍与实现(Stata 或 R)08yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记09苍穹外卖面试总结10YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU