问题描述

htop发现前32个核全被占满了,但是却找不到对应进程号

查杀

治标:杀死隐藏进程

1、unhide

安装unhide
apt-get install unhide
unhide使用
unhide proc

果然发现了隐藏进程

kill -9
kill -9 [pid]

这么多pid号,我这边杀了其中一个,发现CPU就没有被占用了。
但是过了段几小时后病毒程序再次启动。

2、sysdig

安装sysdig
apt-get install sysdig sysdig -c topprocs_cpu

治根:找出病毒位置


程序写在kernel里了?

参考文章

急死!CPU被挖矿了,却找不到哪个进程!
阿里云 centos 服务器 长期 cpu100%,无法通过top、ps等命令找出占cpu进程?

附录

分析病毒文件

cd /proc/隐藏进程pid号

病毒进程主目录/proc/2036


可以发现这货将exe文件软链接到/1783629e (deleted),这样让系统误以为进程号不存在?
运行exe

/proc/2036/task/2036/attr

/proc/2036/task/2036/fd

/proc/2036/map_files

/proc/2036/ns

发现不同进程的这个ns都是一样的,看来程序是写死的

/proc/2036/fd

/proc/2036/task/

/proc/2036/task/2036

这里task里面的2036和外面的/proc/2036是一样的

通过下述命令了解unhide 详细用法

unhide -hman unhideman unhide-tcp