问题描述
htop发现前32个核全被占满了,但是却找不到对应进程号
![图片[1] - 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看! - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/5a884ecefdb54f07bf0c51ea95838d3c.png)
查杀
治标:杀死隐藏进程
1、unhide
安装unhide
apt-get install unhideunhide使用
unhide proc果然发现了隐藏进程
![图片[2] - 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看! - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/72dea8cc15784a92b212740f5a593ced.png)
kill -9
kill -9 [pid]这么多pid号,我这边杀了其中一个,发现CPU就没有被占用了。
但是过了段几小时后病毒程序再次启动。
![图片[3] - 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看! - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/b22beaedd0a941d09a58aa10e3207517.png)
2、sysdig
安装sysdig
apt-get install sysdig sysdig -c topprocs_cpu![图片[4] - 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看! - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/36472aeb7a984d0889bc5075944a5f62.png)
治根:找出病毒位置
![图片[5] - 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看! - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/f5c57d52fb8248959f5b1cb0de720e44.png)
程序写在kernel里了?
![图片[6] - 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看! - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/f53d4488bb9c411db27f957d5add518f.png)
参考文章
急死!CPU被挖矿了,却找不到哪个进程!
阿里云 centos 服务器 长期 cpu100%,无法通过top、ps等命令找出占cpu进程?
附录
分析病毒文件
cd /proc/隐藏进程pid号病毒进程主目录/proc/2036
![图片[7] - 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看! - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/2de30f015f7b40b69768c7ca8e0f8009.png)
可以发现这货将exe文件软链接到/1783629e (deleted),这样让系统误以为进程号不存在?
运行exe
![图片[8] - 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看! - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/6b49062e7a1e43e787a62737e821c6eb.png)
/proc/2036/task/2036/attr
![图片[9] - 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看! - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/f4da5af56cbb47aa98906c1d3544ffb0.png)
/proc/2036/task/2036/fd
/proc/2036/map_files
![图片[10] - 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看! - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/e6409c781b44459791bd29bd018b678b.png)
/proc/2036/ns
发现不同进程的这个ns都是一样的,看来程序是写死的
![图片[11] - 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看! - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/3000832cdd954870ad72238e9fa900cb.png)
/proc/2036/fd
![图片[12] - 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看! - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/98aeeb5e0deb40e9a1c9bc06668715c7.png)
/proc/2036/task/
![图片[13] - 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看! - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/e1e10e5a90394e1f9ab0648e31ffe311.png)
/proc/2036/task/2036
这里task里面的2036和外面的/proc/2036是一样的
![图片[14] - 【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程?使用unhide可以查看! - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/3055561d357344bca56b99fed1946685.png)
通过下述命令了解unhide 详细用法
unhide -hman unhideman unhide-tcp© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
