背景 链接到标题 今天早上接到同事报警，环境中两个节点出现了 CPU 使用率告警，通过 top 查看发现是一个叫 iSdqkI 的进程，但是这明显不是常规进程，初步怀疑是系统被入侵了，在同事的协助下最终解决了。这次主要记录遇到这种问题的排查思路，也算是对过程的复述。 分析过程 链接到标题 首先我们得到的信息是 CPU 使用率告警，第一时间是通过 top 来看看是哪个进程在作怪： 可以看到 FnrgiY 这个进程 CPU 使用率为 556%，且这个进程不是我们系统中存在的进程，这里判断是入侵后被植入的软件，通过 ps 命令查看进程的具体执行内容： 可以看到， FnrgiY 应该是一个可执行的程序（可能是脚本，也可能是一个 binary 文件），我非常年轻的想通过 find 查看这个文件在哪，然后 kill 掉进程删除文件就好了： 嗯，果然年轻了，系统下不存在该文件，那么我们尝试在 /proc/15582 下来看看有什么线索，先看看 cmdline ，跟进程名相同，没啥信息 同样 stack 文件也没什么有用的信息 来看看这个进程的 cwd 是啥，可以看到 cwd 是 /usr/bin 路径的软链接，但是我刚刚已经检查过了，在 /usr/bin/ 下没有这个可执行文件 通过 lsof -p 命令，来看看这个进程打开了哪些文件，可以看到它启动的进程文件是 /usr/bin/e6bb0f* ，但是被删掉了，然后它还有一个 TCP 连接（先不管），看到一个存在的文件 /tmp/.X11-unix/1 来看看这个文件是啥，cat 一下发现这个文件其实是 pid 文件，并没有其他信息 既然它用到了这个文件，那么我们来看下这个文件所在路径，引用 StackExchange 里面的回答： The X11 server (usuall Xorg these days) communicates with clients like xterm, firefox, etc via some kind of reliable stream of bytes.