Linux服务器top命令cpu ni占用率很高,但是找不到具体进程,通过隐藏异常进程排查的方法。
通过top命令查看cpu ni (改变过优先级的进程占用CPU的百分比)占用很高,但看不到具体占用高的进程,这个时候判断可能是被黑有异常隐藏进程。
1、如图,通过top命令查看cpu ni (改变过优先级的进程占用CPU的百分比)占用很高,但看不到具体占用高的进程,这个时候判断可能是被黑有异常隐藏进程。
2、使用以下命令 安装unhide:
yum install unhide
unhide proc
3、使用unhide proc命令检查隐藏进程,不过pid一直有变化,不方便kill。
4、安装busybox定位隐藏进程 (通过以下命令安装):
wget https://busybox.net/downloads/binaries/1.21.1/busybox-x86_64
chmod +x busybox-x86_64
mv busybox-x86_64 /usr/bin/busybox
5、执行busybox top就可以查看到隐藏的进程id,将其kill,同时删除木马文件。
cat /etc/ld.so.preload
检查/etc/ld.so.preload被修改过
再检查 /root/.ssh/authorized_keys 、crontab、/etc/passwd是否正常。
- 发表于 2023-07-14 11:26
- 阅读 ( 3024 )
- 分类:服务器
