【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看!

问题描述

htop发现前32个核全被占满了,但是却找不到对应进程号

查杀

安装unhide查看隐藏进程

bash 复制代码
apt-get install unhide

unhide使用

bash 复制代码
unhide proc

果然发现了隐藏进程

治标:杀死隐藏进程

bash 复制代码
kill -9 [pid]

这么多pid号,我这边杀了其中一个,发现CPU就没有被占用了。
但是过了段几小时后病毒程序再次启动。

治根:找出病毒位置

程序写在kernel里了?

参考文章

急死!CPU被挖矿了,却找不到哪个进程!
阿里云 centos 服务器 长期 cpu100%,无法通过top、ps等命令找出占cpu进程?

附录

分析病毒文件

bash 复制代码
cd /proc/隐藏进程pid号

病毒进程主目录/proc/2036

可以发现这货将exe文件软链接到/1783629e (deleted),这样让系统误以为进程号不存在?

运行exe

/proc/2036/task/2036/attr

/proc/2036/task/2036/fd

/proc/2036/map_files

/proc/2036/ns

发现不同进程的这个ns都是一样的,看来程序是写死的

/proc/2036/fd

/proc/2036/task/

/proc/2036/task/2036

这里task里面的2036和外面的/proc/2036是一样的

通过下述命令了解unhide 详细用法

bash 复制代码
unhide -h
man unhide
man unhide-tcp
相关推荐
努力学习的小廉6 小时前
深入了解linux网络—— TCP网络通信(上)
linux·网络·tcp/ip
青草地溪水旁8 小时前
socketpair深度解析:Linux中的“对讲机“创建器
linux·服务器·socket编程
爱尚你19938 小时前
Nginx proxy_pass 末尾斜杠(/)
服务器·网络·nginx
想唱rap8 小时前
Linux指令(1)
linux·运维·服务器·笔记·新浪微博
woshihonghonga8 小时前
Ubuntu20.04下的Pytorch2.7.1安装
linux·人工智能·ubuntu
字节高级特工8 小时前
网络协议分层与Socket编程详解
linux·服务器·开发语言·网络·c++·人工智能·php
minji...9 小时前
Linux 权限的概念及shell命令运行原理
linux·运维·服务器
欢鸽儿10 小时前
理解Vivado的IP综合策略:“Out-of-Context Module Runs
linux·ubuntu·fpga
taulee0110 小时前
在云服务器搭建部署私人饥荒联机版游戏服务器 [2025.10.3][ubuntu 24.04][腾讯云2核2G服务器]
服务器·ubuntu·游戏
HappyGame0210 小时前
Linux多线程编程
linux