linux排查经验

2024/5/25

文章来源: https://forum.butian.net/share/3015

查CPU异常占用

top -c -o %CPU

显示了系统中所有进程的 CPU 使用率，并且按照使用率从高到低排序，有时候出现超过百分百也有可能是因为多核CPU0.

% cpu 是表示单核 cpu 的占用率, 而不是占用所有 cpu 的占用率。可以通过按1查看系统是否有多个CPU

查出异常程序就可以去查看设备管理器去看该进程运行历史记录

查看pid对应的进程

ps -aux

• a：显示所有终端的进程。
• u：以用户易读的格式显示进程信息。
• x：显示没有控制终端的进程。

如果你想要 ps 命令的输出按照 CPU 使用率排序，你可以使用 sort 命令来辅助排序，例如：

ps -aux --sort=-%cpu

进入对应的PID查看具体路径信息

ps -aux | grep PID

查到路径，可以拷贝相关文件分析，微步之类的，看是否是恶意远控陈旭等

守护进程

​ Linux系统启动时会启动很多系统服务进程，这些系统服务进程没有控制终端，不能直接和用户交互。其他进程都是在用户登录或运行程序时创建，在运行结束或用户注销时终止，但系统服务进程(守护进程)不受用户登录注销的影响，它们一直在运行着。这种进程有一个名称叫守护进程(Daemon)。
​ 守护进程也被称为精灵进程，是运行在后台的一种特殊进程，它独立于控制终端并且周期性地执行某种任务或等待处理某些发生的事件。

守护进程的特点

(1)在Linux中，每个系统与用户进行交流的界面成为终端，每一个从此终端开始运行的进程都会依附于这个终端，这个终端被称为这些进程的控制终端；

(2)当控制终端被关闭的时候，相应的进程都会自动关闭。但是守护进程却能突破这种限制，它脱离于终端并且在后台运行，(脱离终端的目的是为了避免进程在运行的过程中的信息在任何终端中显示并且进程也不会被任何终端所产生的终端信息所打断)，它从被执行的时候开始运转，直到整个系统关闭才退出(当然可以认为是杀死相应的守护进程)；

(3)如果想让某个进程不因为用户或中断或其他变化而影响，那么就必须把这个进程变成一个守护进程。

如何杀死守护进程

1.首先

ps axj | grep 守护进程名字

找到相应的守护进程，然后使用

kill -9 守护进程名

2.利用ps -ef命令查找相应的守护进程，再用kill -9命令将其杀死；

3.创建shell脚本对进程的启动、关闭、重启进行自动管理。

下面我们继续寻找守护进程
进一步排查，计划任务没有

crontab -l

2024/6/5

查看默认网关记录：route -n

[youzipii@localhost /]$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.174.2   0.0.0.0         UG    0      0        0 ens33

查看指定网卡的信息 ifconfig 网卡名字

ifconfig ens33

查看当前使用的DNS信息

[youzipii@localhost /]$ cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 8.8.8.8
nameserver 114.114.114.114
search localdomain

查看主机名

[youzipii@localhost /]$ hostname
localhost.localdomain

2024/6/10

tcpdump -i ens33 -w - | pv -bert > /dev/null