問題描述
htop發現前32個核全被占滿了,但是卻找不到對應進程號
查殺
安裝unhide查看隱藏進程
apt-get install unhide
unhide使用
unhide proc
果然發現了隱藏進程
殺死隱藏進程
kill -9 [pid]
這么多pid號,我這邊殺了其中一個,發現CPU就沒有被占用了。過了段時間病毒程序也沒有再次啟動。
那么重啟后,它會開機自啟動嗎?我這邊試過了不會。
參考文章
急死!CPU被挖礦了,卻找不到哪個進程!
阿里云 centos 服務器 長期 cpu100%,無法通過top、ps等命令找出占cpu進程?
附錄
分析病毒文件
cd /proc/隱藏進程pid號
病毒進程主目錄/proc/2036
可以發現這貨將exe文件軟鏈接到/1783629e (deleted),這樣讓系統誤以為進程號不存在?
運行exe
/proc/2036/task/2036/attr
/proc/2036/task/2036/fd
/proc/2036/map_files
/proc/2036/ns
發現不同進程的這個ns都是一樣的,看來程序是寫死的
/proc/2036/fd
/proc/2036/task/
/proc/2036/task/2036
這里task里面的2036和外面的/proc/2036是一樣的
通過下述命令了解unhide 詳細用法
unhide -h
man unhide
man unhide-tcp
——工廠模式)
)
官方文檔一:快速入門)
、線性運算)
)
