【CPU异常高占用排查】

zhengtao

之前工作中遇到过Linux服务器CPU长时间高占用（500%、1000%）且无法定位服务进程的问题，遇到这种问题不可掉以轻心，优先考虑ddos攻击或者恶意挖矿行为，一般客户会要求重装系统，但鉴于业务迁移时间人力成本耗时很大，必要时考虑人工处理。



排查的大体思路就是：
1、查询异常网络连接（netstat -napt）；
2、定位连接所属的进程（lsof 命令）；
3、定位进程所属文件夹（ll /proc/PID）；
4、杀死进程并删除相关进程文件；
5、封锁恶意IP（sudo iptables -A INPUT -s <IP地址> -p TCP -j DROP）




排查网站和工具：
一、主机搜索引擎，可检索互联网上所有的设备：https://www.shodan.io/
二、无孔不入的网络空间搜索引擎：https://www.zoomeye.org/
三、安全分析工程师必备反汇编神器：IDA Por
吾爱破解网提供下载：https://www.52pojie.cn/thread-675251-1-1.html



下文中提及的方法是我当时参照的论坛教程

https://mp.weixin.qq.com/s/K1soxilMPh1ce___oMCS9Q