傍晚時分，警報聲乍起，整個Linux帝國都陷入了驚恐之中。

圖片

安全部長迅速召集大家商討應對之策。

“諸位，突發情況，CPU占用率突然飆升，并且長時間沒有降下來的趨勢，CPU工廠的阿Q向我們表達了強烈抗議”

這時，一旁的kill命令說到：“部長莫急，叫top老哥看一下誰在占用CPU，拿到進程號pid，我把他干掉就好了”

此言一出，在座的大伙都點頭贊許，驚恐之色稍解。

top命令站了起來，面露得意之色，說到：“大家請看好了”，說完，打印出了當前的進程列表：

圖片

眾人瞪大了眼睛，瞅了半天，也沒看出哪個進程在瘋狂占用CPU，top老哥這下尷尬了。

這時，一旁的ps命令湊了上來，“讓我來試試”

ps命令深吸了一口氣，也打印出了進程列表。

然而，依舊沒有任何可疑的進程。

“你倆怎么回事，為什么沒有？”，安全部長有些不悅。

“部長，我倆都是遍歷的 /proc/ 目錄下的內容，按理說，所有的進程都會在這里啊，我也想不通為什么找不到···”，top老哥委屈的說到。

“遍歷，怎么遍歷的？”

“就是通過opendir/readdir這些系統調用函數來遍歷的，這都是帝國提供的標準接口，應該不會出錯，除非···”，說到這，top打住了。

“除非什么？”

“除非這些系統調用把那個進程給過濾掉了，那樣的話我就看不到了，難道有人潛入帝國內核，篡改了系統調用？”

安全部長瞪大了眼睛，真要如此，那可是大事??！

眼看部長急的團團轉，一旁的netstat起身說到：“部長，我之前結識一好友，名叫unhide，捉拿隱藏進程是他的拿手好戲，要不請他來試試？”

部長大喜，“還猶豫什么，趕緊去請啊！”

“已經聯系了，隨后就到”

部長看著netstat，說到：“正好，趁著這個功夫，你先來看看現在有沒有對外可疑的連接”

netstat點了點頭，隨后打印出了所有的網絡連接信息：

圖片

“來來來，你們挨個來認領，看看都是誰的”，部長說到。

“這個80端口的服務是我的”，nginx站了出來。

“這個6379端口服務是我的”，redis也站了出來。

“這個，9200是我的”，elasticsearch說到。

“3306那個是我的”

“8182是我的”

······

一陣嘈雜后，只剩下一個連接無人認領：

tcp   0    0 192.168.0.4:51854      88.99.193.240:7777    ESTABLISHED  -

“部長，這八成就是躲在暗處那家伙的連接”，netstat說到。

安全部長思考片刻問到：“curl何在？來訪問下這個IP地址，探探對方虛實”

curl站了出來，“來了來了”

curl小心翼翼的發送了一個HTTP請求過去，對方竟然回信了：

圖片

一行醒目的mining poll出現在大家面前。

“挖，挖礦病毒！”，top老哥叫了出來。

這一下，在場所有的人都倒吸了一口涼氣。

部長趕緊叫防火墻firewall配置了一條規則，將這條連接掐斷。

就在這時，unhide走了進來。

簡單了解了情況后，unhide拍拍胸脯說到：“這事交給我了，一定把這家伙給揪出來”

隨后，unhide一陣操作猛如虎，輸出了幾行信息：

Found HIDDEN PID 13053
    Executable: "/usr/bin/pamdicks"
    $USER=root

Found HIDDEN PID 13064
    Executable: "/usr/bin/pamdicks"
    $USER=root

眾人皆湊了過來，瞪大了眼睛，unhide老哥果然不是蓋的，果真發現了幾個可疑分子。

top有點表示懷疑，問到：“敢問兄臺用的什么路數，為何我等都看不到這幾個進程的存在？”

unhide笑道：“沒什么神秘的，其實我也是遍歷 /proc/ 目錄，和你們不同的是，我不用readdir，而是從進程id最小到最大，挨個訪問 /proc/$pid目錄，一旦發現目錄存在而且不在ps老哥的輸出結果中，那這就是一個隱藏進程。”

一旁的ps笑道：“原來還有我的功勞吶”

“找到了，就是這家伙！”，netstat大聲說到。

圖片

“你怎么這么肯定？”部長問到。

“大家請看，進程打開的文件都會在 /proc/pid/fd 目錄下，socket也是文件，我剛看了一下，這個進程剛好有一個socket。再結合/proc/tcp信息，可以確定這個socket就是目標端口號7777的那一條！”

“好家伙！好家伙”，眾人皆嘖嘖稱贊。

“還等什么，快讓我來干掉它吧！”，kill老哥已經按捺不住了。

“讓我來把它刪掉”，rm小弟也磨刀霍霍了。

部長搖頭說到：“且慢，cp何在，把這家伙先備份到隔離目錄去，以待秋后算賬”

cp拷貝完成，kill和rm兩位一起上，把背后這家伙就地正法了。

top趕緊查看了最新的資源使用情況，驚喜的歡呼：“好了好了，CPU占用率總算降下去了，真是大快人心”

天色已然不早，沒多久，眾人先后離開，帝國恢復了往日的平靜。

不過，安全部長的臉上，仍然是一臉愁容。

“部長，病毒已經被清除，為何還是悶悶不樂呢？”，助理問到。

“病毒雖已清除，但卻不知這家伙是如何闖入的，還有背后暗中保護隱藏它的人又是誰，這實讓我在很憂心啊”

圖片

不知不覺夜已深，帝國安全警報突然再一次響了起來。

“這又是怎么回事？”，部長厲聲問到。

“部長，rm那小子是假冒的，今天他騙了我們，病毒根本沒刪掉，又卷土重來了！”

部長望向遠處的天空，CPU工廠門口的風扇又開始瘋狂地轉了起來···