【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看!

繁星¹⁸⁹⁵2023-11-24 10:52

问题描述

htop发现前32个核全被占满了,但是却找不到对应进程号

查杀

安装unhide查看隐藏进程

bash 复制代码 
apt-get install unhide

unhide使用

bash 复制代码 
unhide proc

果然发现了隐藏进程

治标:杀死隐藏进程

bash 复制代码 
kill -9 [pid]

这么多pid号,我这边杀了其中一个,发现CPU就没有被占用了。
但是过了段几小时后病毒程序再次启动。

治根:找出病毒位置

程序写在kernel里了?

参考文章

急死!CPU被挖矿了,却找不到哪个进程!
阿里云 centos 服务器 长期 cpu100%,无法通过top、ps等命令找出占cpu进程?

附录

分析病毒文件

bash 复制代码 
cd /proc/隐藏进程pid号

病毒进程主目录/proc/2036

可以发现这货将exe文件软链接到/1783629e (deleted),这样让系统误以为进程号不存在?

运行exe

/proc/2036/task/2036/attr

/proc/2036/task/2036/fd

/proc/2036/map_files

/proc/2036/ns

发现不同进程的这个ns都是一样的,看来程序是写死的

/proc/2036/fd

/proc/2036/task/

/proc/2036/task/2036

这里task里面的2036和外面的/proc/2036是一样的

通过下述命令了解unhide 详细用法

bash 复制代码 
unhide -h
man unhide
man unhide-tcp
相关推荐
陌路2013 小时前
Linux18--进程间的通信总结
linux
2401_8582861113 小时前
OS36.【Linux】简单理解EXT2文件系统(2)
linux·运维·服务器·数据结构·文件系统·ext2
勤源科技13 小时前
全链路智能运维中的业务连续性保障与容灾切换机制
运维
Zach_yuan13 小时前
程序地址空间
android·linux·运维·服务器
梁萌13 小时前
Linux安装BiliNote
linux·运维·服务器·docker·bilinote
Roc-xb13 小时前
解决虚拟机安装的Ubuntu20.04.6 LTS 不能复制粘贴问题
服务器·ubuntu·vmvare
小安运维日记14 小时前
RHCA - DO374 | Day03:通过自动化控制器运行剧本
linux·运维·数据库·自动化·ansible·1024程序员节
无聊的小坏坏14 小时前
从零开始:C++ TCP 服务器实战教程
服务器·c++·tcp/ip
行思理15 小时前
docker新手教程
运维·docker·容器
乐十九15 小时前
IIC总线原理详解
linux
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04Burp与其他安全工具联动及代理设置教程05Linux下V2Ray安装配置指南06GitLab 零基础入门指南:从安装到项目管理全流程07jdk21下载、安装(Windows、Linux、macOS)08Ubuntu22.04安装freecad、ODAFileConverter09Labelme从安装到标注:零基础完整指南10NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南