【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看!

繁星¹⁸⁹⁵2023-11-24 10:52

问题描述

htop发现前32个核全被占满了,但是却找不到对应进程号

查杀

安装unhide查看隐藏进程

bash 复制代码 
apt-get install unhide

unhide使用

bash 复制代码 
unhide proc

果然发现了隐藏进程

治标:杀死隐藏进程

bash 复制代码 
kill -9 [pid]

这么多pid号,我这边杀了其中一个,发现CPU就没有被占用了。
但是过了段几小时后病毒程序再次启动。

治根:找出病毒位置

程序写在kernel里了?

参考文章

急死!CPU被挖矿了,却找不到哪个进程!
阿里云 centos 服务器 长期 cpu100%,无法通过top、ps等命令找出占cpu进程?

附录

分析病毒文件

bash 复制代码 
cd /proc/隐藏进程pid号

病毒进程主目录/proc/2036

可以发现这货将exe文件软链接到/1783629e (deleted),这样让系统误以为进程号不存在?

运行exe

/proc/2036/task/2036/attr

/proc/2036/task/2036/fd

/proc/2036/map_files

/proc/2036/ns

发现不同进程的这个ns都是一样的,看来程序是写死的

/proc/2036/fd

/proc/2036/task/

/proc/2036/task/2036

这里task里面的2036和外面的/proc/2036是一样的

通过下述命令了解unhide 详细用法

bash 复制代码 
unhide -h
man unhide
man unhide-tcp
相关推荐
安 当 加 密19 分钟前
基于USB Key的Web系统双因素认证解决方案:构建安全与便捷的登录体系
运维·网络·安全
沉默的八哥1 小时前
K8S日常问题优化
运维·kubernetes
666HZ6661 小时前
从0到1入门Docker
运维·docker·容器
路由侠内网穿透1 小时前
本地部署资源聚合搜索神器 Jackett 并实现外部访问
linux·运维·服务器·网络协议·tcp/ip
啥都想学的又啥都不会的研究生2 小时前
Redis设计与实现-服务器中的数据库
运维·服务器·数据库·redis·笔记·缓存·性能优化
djykkkkkk2 小时前
ubuntu 和 RV1126 交叉编译Mosqutiio-1.6.9
linux·运维·ubuntu
大小科圣2 小时前
Tomcat介绍及部署
运维·服务器
好多知识都想学3 小时前
第二章Linux 命令概述
linux·运维·服务器
wo3258661453 小时前
浪潮英政服务器CS5420H2配置阵列时报错The reguested command has inualid arguments.解决方法
运维·服务器
熊峰峰3 小时前
Linux第0节:Linux环境的搭建
linux·运维·服务器
热门推荐
01如何在WPS和Word/Excel中直接使用DeepSeek功能02DeepSeek各版本说明与优缺点分析03本地部署DeepSeek教程(Mac版本)04从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑05如何本地部署AI智能体平台,带你手搓一个AI Agent06DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具07DeepSeek RAGFlow构建本地知识库系统08Windows 11 安装 Dify 完整指南 非docker环境09本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程10KGG转MP3工具|非KGM文件|解密音频