问题描述
htop发现前32个核全被占满了,但是却找不到对应进程号
查杀
治标:杀死隐藏进程
1、unhide
安装unhide
apt-get install unhide
unhide使用
unhide proc
果然发现了隐藏进程
kill -9
kill -9 [pid]
这么多pid号,我这边杀了其中一个,发现CPU就没有被占用了。
但是过了段几小时后病毒程序再次启动。
2、sysdig
安装sysdig
apt-get install sysdig
sysdig -c topprocs_cpu
治根:找出病毒位置
程序写在kernel里了?
参考文章
急死!CPU被挖矿了,却找不到哪个进程!
阿里云 centos 服务器 长期 cpu100%,无法通过top、ps等命令找出占cpu进程?
附录
分析病毒文件
cd /proc/隐藏进程pid号
病毒进程主目录/proc/2036
可以发现这货将exe
文件软链接到/1783629e (deleted)
,这样让系统误以为进程号不存在?
运行exe
/proc/2036/task/2036/attr
/proc/2036/task/2036/fd
/proc/2036/map_files
/proc/2036/ns
发现不同进程的这个ns都是一样的,看来程序是写死的
/proc/2036/fd
/proc/2036/task/
/proc/2036/task/2036
这里task里面的2036和外面的/proc/2036是一样的
通过下述命令了解unhide 详细用法
unhide -h
man unhide
man unhide-tcp