【linux】服务器CPU占用50%,top/htop/ps却看不到异常进程？使用unhide可以查看！

问题描述

htop发现前32个核全被占满了，但是却找不到对应进程号

查杀

安装unhide查看隐藏进程

apt-get install unhide

unhide使用

unhide proc

果然发现了隐藏进程

杀死隐藏进程

kill -9 [pid]

这么多pid号，我这边杀了其中一个，发现CPU就没有被占用了。过了段时间病毒程序也没有再次启动。
那么重启后，它会开机自启动吗？我这边试过了不会。

参考文章

急死！CPU被挖矿了，却找不到哪个进程！
阿里云 centos 服务器 长期 cpu100%，无法通过top、ps等命令找出占cpu进程？

附录

分析病毒文件

cd /proc/隐藏进程pid号

病毒进程主目录/proc/2036

可以发现这货将exe文件软链接到/1783629e (deleted),这样让系统误以为进程号不存在？
运行exe

/proc/2036/task/2036/attr

/proc/2036/task/2036/fd

/proc/2036/map_files

/proc/2036/ns

发现不同进程的这个ns都是一样的，看来程序是写死的

/proc/2036/fd

/proc/2036/task/

/proc/2036/task/2036

这里task里面的2036和外面的/proc/2036是一样的

通过下述命令了解unhide 详细用法

unhide -h
man unhide
man unhide-tcp