天津建设教育培训中心网站郑州网络推广

问题描述

htop发现前32个核全被占满了，但是却找不到对应进程号

查杀

治标：杀死隐藏进程

1、unhide

安装unhide

apt-get install unhide

unhide使用

unhide proc

果然发现了隐藏进程

kill -9

kill -9 [pid]

这么多pid号，我这边杀了其中一个，发现CPU就没有被占用了。
但是过了段几小时后病毒程序再次启动。

2、sysdig

安装sysdig

apt-get install sysdig 
sysdig -c topprocs_cpu

治根：找出病毒位置

程序写在kernel里了？

参考文章

急死！CPU被挖矿了，却找不到哪个进程！
阿里云 centos 服务器 长期 cpu100%，无法通过top、ps等命令找出占cpu进程？

附录

分析病毒文件

cd /proc/隐藏进程pid号

病毒进程主目录/proc/2036

可以发现这货将exe文件软链接到/1783629e (deleted),这样让系统误以为进程号不存在？
运行exe

/proc/2036/task/2036/attr

/proc/2036/task/2036/fd

/proc/2036/map_files

/proc/2036/ns

发现不同进程的这个ns都是一样的，看来程序是写死的

/proc/2036/fd

/proc/2036/task/

/proc/2036/task/2036

这里task里面的2036和外面的/proc/2036是一样的

通过下述命令了解unhide 详细用法

unhide -h
man unhide
man unhide-tcp