【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看!

繁星¹⁸⁹⁵2023-11-24 10:52

问题描述

htop发现前32个核全被占满了,但是却找不到对应进程号

查杀

安装unhide查看隐藏进程

bash 复制代码 
apt-get install unhide

unhide使用

bash 复制代码 
unhide proc

果然发现了隐藏进程

治标:杀死隐藏进程

bash 复制代码 
kill -9 [pid]

这么多pid号,我这边杀了其中一个,发现CPU就没有被占用了。
但是过了段几小时后病毒程序再次启动。

治根:找出病毒位置

程序写在kernel里了?

参考文章

急死!CPU被挖矿了,却找不到哪个进程!
阿里云 centos 服务器 长期 cpu100%,无法通过top、ps等命令找出占cpu进程?

附录

分析病毒文件

bash 复制代码 
cd /proc/隐藏进程pid号

病毒进程主目录/proc/2036

可以发现这货将exe文件软链接到/1783629e (deleted),这样让系统误以为进程号不存在?

运行exe

/proc/2036/task/2036/attr

/proc/2036/task/2036/fd

/proc/2036/map_files

/proc/2036/ns

发现不同进程的这个ns都是一样的,看来程序是写死的

/proc/2036/fd

/proc/2036/task/

/proc/2036/task/2036

这里task里面的2036和外面的/proc/2036是一样的

通过下述命令了解unhide 详细用法

bash 复制代码 
unhide -h
man unhide
man unhide-tcp
相关推荐
Albert Edison1 天前
【Python】函数
java·linux·python·pip
General_G1 天前
Linux中的信号
linux·运维·服务器
诸神缄默不语1 天前
当无法直接用apt instll时,Linux如何离线安装软件包(以make为例)
linux·运维·服务器
Sivan_Xin1 天前
拒绝 If-Else 屎山:利用适配器模式(Adapter)构建第三方登录的“防腐层”实战
linux·python·适配器模式
learning-striving1 天前
kali默认桌面Xfce切换为GNOME桌面
linux·运维·服务器·kali
源远流长jerry1 天前
dpdk之kni处理dns案例
linux·网络·网络协议·ubuntu·ip
黄昏晓x1 天前
Linux----进程控制
android·linux·运维
郝亚军1 天前
ubutnu 64位系统,需要安装的工具包
linux·运维·ubuntu
宇钶宇夕1 天前
CoDeSys入门实战一起学习(二十八):(ST)三台电机顺起逆停程序详解
运维·学习·自动化·软件工程
EmbedLinX1 天前
嵌入式Linux C++常用设计模式
linux·c++·设计模式
热门推荐
01GitHub 镜像站点02Vue-skills的中文文档03Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services04Claude Code Skills 实用使用手册05一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示06UV安装并设置国内源07让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南08Linux下V2Ray安装配置指南09OpenClaw Chrome扩展使用教程 - 浏览器中继控制10AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南