【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看!

繁星¹⁸⁹⁵2023-11-24 10:52

问题描述

htop发现前32个核全被占满了,但是却找不到对应进程号

查杀

安装unhide查看隐藏进程

bash 复制代码 
apt-get install unhide

unhide使用

bash 复制代码 
unhide proc

果然发现了隐藏进程

治标:杀死隐藏进程

bash 复制代码 
kill -9 [pid]

这么多pid号,我这边杀了其中一个,发现CPU就没有被占用了。
但是过了段几小时后病毒程序再次启动。

治根:找出病毒位置

程序写在kernel里了?

参考文章

急死!CPU被挖矿了,却找不到哪个进程!
阿里云 centos 服务器 长期 cpu100%,无法通过top、ps等命令找出占cpu进程?

附录

分析病毒文件

bash 复制代码 
cd /proc/隐藏进程pid号

病毒进程主目录/proc/2036

可以发现这货将exe文件软链接到/1783629e (deleted),这样让系统误以为进程号不存在?

运行exe

/proc/2036/task/2036/attr

/proc/2036/task/2036/fd

/proc/2036/map_files

/proc/2036/ns

发现不同进程的这个ns都是一样的,看来程序是写死的

/proc/2036/fd

/proc/2036/task/

/proc/2036/task/2036

这里task里面的2036和外面的/proc/2036是一样的

通过下述命令了解unhide 详细用法

bash 复制代码 
unhide -h
man unhide
man unhide-tcp
相关推荐
齐齐大魔王1 小时前
linux-僵死进程处理
linux·运维·服务器
wuminyu4 小时前
专家视角看Java字节码加载与存储指令机制
java·linux·c语言·jvm·c++
.小小陈.5 小时前
Linux 线程概念与控制:从底层原理到实战应用
linux·运维·jvm
网络工程小王5 小时前
【LangChain 大模型6大调用指南】调用大模型篇
linux·运维·服务器·人工智能·学习
wangbing11255 小时前
各linux版本的包管理命令
linux·运维·服务器
Joseph Cooper5 小时前
Linux/Android 跟踪技术:ftrace、TRACE_EVENT、atrace、systrace 与 perfetto 入门
android·linux·运维
比昨天多敲两行6 小时前
Linux基础开发工具(下)
linux·运维·服务器
feng14567 小时前
OpenSREClaw - 故障复盘和变更评审双 Agent 案例
运维·人工智能
linux修理工7 小时前
chrome官方下载地址
运维·服务器
无忧智库7 小时前
IT运维正在经历一场真正的范式革命:从告警风暴到AIOps自主自愈的完整工程解构(WORD)
运维
热门推荐
01要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法02GitHub 镜像站点03Codex 接入 DeepSeek API 完整配置文档04零基础教你claude code 接入 deepseek V405【AI】2026 年具身智能模型和世界模型总结06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07几个好用的ip纯净度检测网站082026年AI前瞻:量子AI、具身智能与科学发现的新纪元09CC-Switch & Claude 基于 Linux 服务器安装使用指南10在Windows 11上安装Docker的踩坑记录