Linux服务器top命令cpu ni占用率很高,但是找不到具体进程，通过隐藏异常进程排查的方法。

1、如图，通过top命令查看cpu ni （改变过优先级的进程占用CPU的百分比）占用很高，但看不到具体占用高的进程，这个时候判断可能是被黑有异常隐藏进程。

2、使用以下命令 安装unhide:

yum install unhide

unhide proc

3、使用unhide proc命令检查隐藏进程，不过pid一直有变化，不方便kill。

4、安装busybox定位隐藏进程 （通过以下命令安装）：

wget https://busybox.net/downloads/binaries/1.21.1/busybox-x86_64

chmod +x busybox-x86_64

mv busybox-x86_64 /usr/bin/busybox

5、执行busybox top就可以查看到隐藏的进程id，将其kill，同时删除木马文件。

cat /etc/ld.so.preload

检查/etc/ld.so.preload被修改过

再检查 /root/.ssh/authorized_keys 、crontab、/etc/passwd是否正常。