top命令
第一行:
10:01:23 — 当前系统时间
126 days, 14:29 — 系统已经运行了126天14小时29分钟(在这期间没有重启过)
2 users — 当前有2个用户登录系统
load average: 1.15, 1.42, 1.44 — load average后面的三个数分别是1分钟、5分钟、15分钟的负载情况。
load average数据是每隔5秒钟检查一次活跃的进程数,然后按特定算法计算出的数值。如果这个数除以逻辑CPU的数量,结果高于5的时候就表明系统在超负荷运转了。
0.4% sy — 内核空间占用CPU的百分比。
0.0% ni — 改变过优先级的进程占用CPU的百分比
92.9% id — 空闲CPU百分比
0.0% wa — IO等待占用CPU的百分比
0.0% hi — 硬中断(Hardware IRQ)占用CPU的百分比
0.0% si — 软中断(Software Interrupts)占用CPU的百分比
第四行:内存状态
8306544k total — 物理内存总量(8GB)
7775876k used — 使用中的内存总量(7.7GB)
530668k free — 空闲内存总量(530M)
79236k buffers — 缓存的内存量 (79M)
第五行:swap交换分区
2556k used — 使用的交换区总量(2.5M)
2029052k free — 空闲交换区总量(2GB)
4231276k cached — 缓冲的交换区总量(4GB)
PID — 进程id
USER — 进程所有者
PR — 进程优先级
NI — nice值。负值表示高优先级,正值表示低优先级
VIRT — 进程使用的虚拟内存总量,单位kb。VIRT=SWAP+RES
RES — 进程使用的、未被换出的物理内存大小,单位kb。RES=CODE+DATA
SHR — 共享内存大小,单位kb
S — 进程状态。D=不可中断的睡眠状态 R=运行 S=睡眠 T=跟踪/停止 Z=僵尸进程
%CPU — 上次更新到现在的CPU时间占用百分比
%MEM — 进程使用的物理内存百分比
TIME+ — 进程使用的CPU时间总计,单位1/100秒
COMMAND — 进程名称(命令名/命令行)
top查看各进程的内存占用
top -c 后输入大写的 M
进程会按照占用的内存大小排序。
free命令查看内存
free -h
带上-m查出来的内存单位为m,-h查询出为human可读的
查找木马
运行top命令,发现有奇怪的进程
find / -name COMMAND一下
杀了进程kill -9 PID
继续find / -name COMMAND一下,嘿!没了!
如果就这么结束了,显然就不必要这么记一下了。
------------------------------------------------这是一条杀不死的分割线------------------------------------------------
top一下,很显然多了另一个进程,木马果然没那么容易杀死。无论是kill掉进程还是删除木马文件还是删除启动文件,其他的都会被删除,然后生成一个文件名完全不同的进程和对应的木马文件及启动文件。
find / -name COMMAND一下,和第一次一样会有两个文件
cat一下,这个是开机启动文件,开机时会执行/usr/bin/clmsgagkvc这个文件。
第二个文件cat一下,屏幕一片花花绿绿,是个很大的文件,就是木马文件了。
find /usr/bin -size +600 #查看/usr/bin目录下大于600k的文件,会发现好多奇怪的文件
。。。
经过一系列斗争,我选择重装系统。。。